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本 书 首先 阐述 了 为 什么 要 发 展 和 部 署 IPv6， 然 后 详细 介绍 了 IPv6 H 
议 ， 以 及 IPv4 与 IPv6 互通 的 技术 。 本 书 还 详细 描述 了 如 何 评估 IPv6 准备 
情况 ， 如 何 进行 IPv6 地 址 规划 ， 如 何 进行 IPv6 安全 规划 和 管理 规划 ， 如 何 
部 署 和 管理 IPv6 网 络 ， 如 何 管理 IPv4ZIPvw6 网 络 等 相关 的 策略 和 技术 。 最 
后 ， 本 书 对 IPv6 和 因特网 进行 了 展望 。 

本 书 适合 作为 相关 专业 的 工程 技术 人 员 学 习 下 一 代 计 算 机 网 络 协议 
IPv6 概念 和 相关 部 署 和 管理 技术 的 参考 书 ， 也 可 以 作为 计算 机 专业 、 网 络 
工程 专业 和 通信 专业 本 科 高 年 级 的 教材 。 


pa 


过 去 的 二 十 多 年 里 ， 
联网 及 大 数据 时 代 的 到 来 ，IPv4 A 
不 足 、 端 到 端 通信 质 
具有 如 下 优越 性 : 良好 的 可 扩展 性 、 可 靠 的 安全 性 、 多 样 化 的 
理性 、 移 动 性 ; 另外 ， 还 能 很 好 地 支持 多 播 业务 ， 提 高 网 络 的 
用 IPv6 后 ， 大 量 智能 终端 将 有 机 会 独立 连接 到 


译 者 序 


IPv4 作为 因 


量 得 不 到 保障 、 网 络 配置 管 


特 网 的 标准 取得 了 辉煌 的 
千 网 的 缺陷 已 变 得 越 加 明显 ， 如 地 址 空间 的 


业绩 。 但 随 着 物 


理 困 难 等 。 相 比 于 IPv4，IPv6 
服务 质量 、 易 管 
整体 吞吐 量 。 使 


因特网 上 ， 人 们 将 生活 在 一 个 万 


物 互联 的 世界 中 。 近 年 来 ， 越 来 越 多 的 国家 在 IPv6 研发 中 投入 了 巨大 的 精力 和 


时 间 并 进行 部 署 各 普及。 我国 
试验 和 示范 工程 。2008 年 12 月 


在 基于 IPv6 的 下 一 代 互 联网 方面 开展 了 多 项 研究 、 
3 日 ， 历 时 五 年 的 中 国 


下 一 代 互 联网 ( China 


Next Generation Internet, CNGI) 项 目 取得 阶段 性 的 成 果 ， 建 成 并 稳定 运行 全 球 


第 一 个 


出 我 国 


线 图 和 主要 目标 。 


随 着 商用 部 署 的 持续 推进 ， 网 络 工程 师 、 管 理 者 和 IT 工作 者 迫切 需要 了 解 


也 是 规模 最 大 的 纯 IPv6 互联 网 
已 在 基于 IPv6 的 下 一 代 互 联网 方面 取得 了 阶段 性 进展 ， 后 续 规 模 化 商用 
和 发 展 已 具备 良好 基础 ， 会 议 明 确 了 今后 一 个 时 期 我 国 


主干 网 。 20 


和 学 习 IPv6 基本 概念 并 掌握 IPv6 部 署 与 管理 技术 


是 为 这 样 的 需求 而 准备 的 。 本 ] 


管理 者 和 开工 作者 的 良师益友 。 
本 书包 括 10 章 和 1 个 附录 。 第 1 章 阐述 了 为 什么 要 发 展 IPv6， 并 从 商业 前 


景 的 角度 阐明 了 各 种 组 织 团 体 应 该 部 署 IPv6 HY H 
协议 特点 及 结构 等 基 


升级 或 部 署 IPv6 需要 做 什么 准备 。 第 5 HH 


11 年 12 月 国务 院 常 务 会 议 指 


发 展 下 一 代 互 联网 的 路 


o AP (Pv 部 署 和 管理 》 正 


是 一 本 系统 、 先 进 、 实 用 的 IPv6 网 络 部 署 和 管 
理 的 参考 书 ， 是 从 事 的 计算 机 网 络 技术 研究 、 应 用 、 开 发 和 管理 的 网 络 工程 师 、 


由 。 第 2 章 详 细 介 绍 了 IPv6 的 


本 概念 。 第 3 章 详 细 介 绍 IPv4/IPv6 共存 技术 ， 包 括 双 栈 、 
隧道 、 翻 译 技术 等 相关 的 技术 。 第 4 章 详 细 介 绍 了 如 何 评估 现 有 网 络 的 状况 ， 


# 细 介 绍 了 制定 IPv6 地 址 规划 的 机 制 


和 技术 。 第 6 章 从 安全 的 视角 探讨 了 IPv4 和 IPv6 之 间 的 差异 ， 并 突出 了 在 更 新 
安全 策略 时 需要 考虑 的 一 些 关键 点 。 第 7 章 介 绍 了 网 络 管理 的 模型 、 范 围 、 管 
第 8 章 介 绍 了 IPv6 部 署 管理 过 程 。 第 9 章 介 绍 了 管理 IPv4/ 


IPv6 网 络 的 策 


理 协 议和 管理 功能 。 
各 和 技术 。 第 10 章 对 IPv6 和 因特网 进行 了 展望 。 


准备 情况 评估 表 的 模板 。 


董 守 玲 、 王 吴 翔 、 胡 金龙 组 织 并 参加 了 本 和 


附录 1 是 IPv6 


区 的 翻译 和 审 校 工作 ， 参 加 翻 
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+t 者 
2014 年 于 华南 理工 大 学 


REIA 


KAKI IPv6 数据 报 结 构 的 RFC 2460 文章 发 表 到 现在 已 经 有 14 年 


(2013) 了 。 由 Setve Deering 和 Bob Hinden 撰写 的 这 篇 文章 描绘 了 从 1990 年 


年 初 
论 。 
罗列 


开始 长 达 8 年 之 久 的 关于 “如 何 让 32 位 的 IP 地 址 空间 得 到 扩展 ”的 辩 
在 当时 ， 对 于 Png (下 一 代 卫 ) 有 四 个 建议 。 我 不 打算 将 这 些 建议 一 一 
出 来 ， 只 想 说 明 它们 设 定 的 功能 差异 巨大 。 曾 经 还 有 另外 一 条 建议 说 接 


X OSI 的 无 连接 网 络 协 议 (Connectionless Networking Protocol，CLNP) ， 这 也 引 


起 了 


此 一 
程 的 


年 记 


当时 在 因特网 工程 任务 组 (Internet Engineering Task Force, IETF) 工作 的 那 
腔 热血 的 工程 师 们 的 愤怒 。 这 条 建议 也 成 为 当时 因特网 工程 任务 组 每 次 议 
首要 议题 。 

在 这 些 辩 论 之 后 ， 当 时 Png 工作 组 的 联合 主席 ，Deering 和 Hinden, F 1998 
录 下 全 部 的 辩论 成 果 ， 然 后 将 这 些 成 果 提 交 到 互联 网 工程 指导 小 组 


(Internet Engineering Steering Group, IESG), RFC 编辑 来 发 布 。 当 时 我 们 许多 


人 都 
有 着 
像 雨 
使 用 
使 用 
而 且 
KF 


BGP) ， 考 虑 用 掩 码 来 标识 地 址 格式 中 网 络 号 和 主机 号 的 扩展 。 再 加 上 各 地 区 的 


因 特 
To 


功能 


期 待 着 会 立刻 有 人 努力 来 实现 这 一 协议 。 在 网 络 快速 发 展 的 年 代 里 ， 一 直 
一 个 特殊 的 忧虑 ， 那 就 是 网 络 地 址 的 使 用 率 过 快 增长 。 新 的 互联 网 公司 就 
后 春笋 一 样 大 量 地 置 了 出 来 。 在 IPng 辩论 的 同时 ， 也 进行 着 控制 [Pv4 地 址 
的 努力 ， 如 重新 诠释 地 址 结构 的 每 一 位 等 的 做 法 也 在 如 火 如 节 地 进行 着 。 
为 无 类 域 间 路 由 (Classless Interdomain Routing, CIDR) 的 算法 ， 通 过 人 允许 
任意 的 位 数 来 区 别 网 络 号 和 主机 号 ， 让 IP 地 址 使 用 得 更 加 充分 和 高 效率 。 
， 自 治 系统 (Autonomous System, As) 的 概念 也 被 引入 ， 它 结合 相关 指标 
明 边 界 位 置 。 男 外 ， 还 改进 了 边界 网 关 协 议 (Board Gateway Protocol, 


网 登记 处 使 用 的 异常 严格 的 规则 ，IPv4 地 址 空间 的 消耗 速度 从 根本 上 减缓 
IPv4 地 址 规划 得 如 此 好 ， 以 至 于 实现 IPv6 的 压力 慢 慢 地 消散 了 。 

网 络 地 址 转换 (Network Address Translation, NAT) 功能 也 被 采用 了 。 这 个 
允许 多 部 设备 使 用 私有 的 网 络 地 址 ， 并 且 共 同 使 用 同一 公有 地 址 空间 。 在 


一 个 局 域 网 中 ，NAT 技术 通过 使 用 端口 号 来 映射 公 网 地 址 与 各 个 设备 使 用 的 私 


网 地 
可 以 


址 。 这 个 实践 的 成 功 吸 引 了 电缆 和 无 线 通信 设备 的 制造 商 ， 因 为 它们 现在 
最 大 限度 地 让 更 多 的 设备 来 共享 一 个 JP 地址 。NAT 技术 大 大 增长 了 互联 网 


服务 提供 商 的 因特网 服务 的 注册 用 户 数 。 


这 些 多 样 的 措施 延续 了 IPv4 地 址 的 使 用 ， 直 到 2011 年 2 月 互联 网 地 址 编码 
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分 配 机 构 (Internet Assigned Numbers Authority, IANA) 在 互联 网 名 称 和 数字 地 
址 分 配 机 构 (Internet Corporation for Assigned Names and Numbers, ICANN) fy # 
助 下 召开 会 议 ， 宣 布 该 组 织 已 经 没有 可 分 配 的 IPv4 地 址 。 各 地 区 的 因特网 登记 
处 (ARIN, LACNIC, RIPE-NCC, AFRINIC, APNIC) 依然 还 有 地 址 可 供 分 配 。 
但 是 不 久 ， 在 2011 年 的 4 月 APNIX 的 IPv4 地 址 就 耗 尽 了; 2012 年 9 H, RIPE- 
NCC 也 宣布 它 的 IPv4 地 址 已 经 耗 尺 了 。 一 个 以 IPv4 地 址 空间 的 交易 市 场 已 经 形 
成 ， 可 是 没 能 满足 真正 的 需求 。 

物 联 网 已 经 距离 我 们 越 来 越 近 了 。 移 动 设备 使 用 LTE 技术 传输 数据 ， 这 需 
要 端 到 端的 通信 和 能力 。 同 样 的 ， 对 于 机 顶 盒 ， 传 感 嚣 设备， 配备 互联 网 功能 的 
汽车 ， 不 计 其 数 的 家 用 和 办 公 电 器 ， 还 有 那些 可 以 区 入 在 我 们 身体 中 的 设备 ， 
也 是 这 样 的 。 解 决 这 个 问题 唯一 明智 的 方法 就 是 在 兼容 IPv4 地 址 的 同时 ， 实 现 
IPv6 地 址 。 我 们 不 能 简单 地 “ 抛 出 一 个 开关 ”就 能 实现 网 上 的 所 有 设备 从 IPv4 
寻 址 到 IPv6 寻 址 的 转换 。 这 个 过 渡 需 要 多 年 的 时 间 。 
这 个 长 期 的 过 渡 使 我 们 需要 具备 非常 续 密 的 设计 、 细 致 的 控制 实现 及 周全 
的 管理 系统 ， 从 而 能 够 同时 处 理 当 前 网 络 和 各 种 设备 中 的 IPv4 和 IPv6。 我 们 不 
能 为 了 简单 化 而 把 地 址 空间 全 部 设计 成 单纯 IPv4 或 者 单纯 IPv6 的 “孤岛 "。 可 
移动 或 便携 式 的 设备 会 经 常 遇 到 IPv4 和 IPv6 混合 的 环境 。 这 对 于 那些 缺少 IPv4 
地 址 空间 的 因特网 区 域 来 说 ， 确 实 是 个 不 错 的 机 会 来 使 用 纯 的 IPv6 地 址 。 复 杂 
的 运行 环境 不 仅 会 包含 经 过 NAT 的 IPv4 地 址 ， 而 且 也 含有 IPv6 的 端 到 端 传输 。 
所 以 ， 网 络 工程 师 的 书架 〈 或 者 在 笔记 本 、ipad 、 手 机 、 云 端 、 数 码 阅读 器 ) 
上 需要 有 一 本 由 Michale Dooley 和 Timothy Rooney 写 的 本 书 也 就 不 足 为 奇 了 。 

配置 和 网 络 管理 是 很 难 的 ， 对 于 一 个 混合 了 两 种 卫 数 据 报 结构 的 环境 ， 这 
类 的 操作 更 加 困难 。 即 便 是 一 个 普通 的 故障 ， 如 光纤 被 切断 等 ， 都 会 使 两 个 协 
议 产 生 错误 信息 。 网 络 管理 系统 在 过 滤 、 关 联 、 分 类 不 同 的 错误 信息 和 状态 或 
者 来 自 一 个 混合 IP 寻 址 环境 的 警告 信息 等 功能 上 ， 都 需要 更 加 智能 。IPv6 协议 
中 较 大 数据 报头 部 会 导致 分 片 ， 或 者 使 为 了 避免 分 片 阻 塞 而 要 发 现 最 小 数据 
报 的 过 程 复 杂 化 。 这 里 只 有 很 少 的 问题 需要 回答 。 任 何 体 系 结构 的 系统 只 
考虑 使 用 双 协 议 栈 的 环境 ， 都 会 发 现 本 书 是 您 的 得 力 助手 ， 是 您 所 需 建议 的 
源泉 。 

现在 开始 这 些 实现 是 非常 及 时 的 。 在 这 个 十 年 的 剩余 几 年 中 ， 我 们 会 看 到 
羽 特 网 会 在 许多 方面 产生 巨大 的 变化 和 扩展 ， 这 些 变化 不 仅 表现 在 各 个 系统 中 
相关 设备 的 大 量 增长 。 

某 些 因特网 服务 提供 商 (Internet Service Provider, ISP) 以 “用 户 没 有 要 求 
IPv6” 为 借口 而 延缓 了 IPv6 的 实现 。 在 我 看 来 ， 用 户 不 需要 知道 任何 关于 IPv6 
的 知识 。 用 户 们 都 有 一 个 合情合理 的 期 望 ， 认 为 他 们 的 ISP 会 自动 地 实现 双 协 议 
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栈 ， 而 不 用 用 户 自 己 去 问 。 在 IPv4 地 址 全 部 耗 尽 之 前 ， 尽 管 使 用 了 NAT 技术 ， 
但 不 尽快 实现 双 协 议 栈 都 是 不 负责 任 的 做 法 。 我 们 必须 尽快 地 完成 这 个 过 渡 期 ， 
实现 全 连接 的 IPv6 网 络 。 这 并 不 意味 着 我 们 要 抛弃 IPv4 的 使 用 ， 只 是 我 们 需要 
IPv6 网 络 能 像 现 在 IPv4 做 到 的 一 样 ， 而 且 我 们 现在 就 需要 。 


Vint Cerf 


我 们 要 感谢 Vint Cerf 为 这 本 书写 了 前 言 ; 我 们 感到 很 荣幸 。 我 们 也 要 感谢 
的 主编 、 在 IEEE 出 版 社工 作 的 Thomas Plevyak， 当 然 还 有 Micha 
也 们 花 了 许多 时 间 审 阅 本 书 ， 并 且 提 供 了 许多 非常 有 用 


BAF 


Vincent 和 Jeff Schmidt, 1 
的 反馈 和 意见 。 

Michael: 我 也 要 谢谢 
的 女儿 Kelly， 谢 谢 他 们 在 我 撰写 这 本 
谢 他 们 让 我 能 专心 致 志 地 写 书 而 不 被 分 散 注意 力 。 同 时 我 也 不 能 态 记 我 的 


Bailey, 
RE AA 


致 ” 谢 


| AA 


它 总 是 来 推 我 完 它 一 下 ， 


我 的 家 人 ， 我 的 妻子 Suzanne， 我 的 儿子 小 Michale， 
期 间 给 予 我 深 深 的 爱 和 坚定 的 支持 ， 谢 


[世界 上 最 好 、 最 聪明 的 人 一 起 工作 ， 真 心 祝福 人 


el 


我 


i 


让 我 休息 片刻 。 我 要 谢谢 我 的 朋友 和 同事 ，1 
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也 们 。 我 要 谢谢 (不 以 


特定 的 顺序 ) Karen Pell 、Steve Thompson 、Greg Rabil 、John Ramkawsky 、Alex 


Drescher 


要 感谢 原先 由 Quadritek 领导 的 
义 和 创 造 了 IP 地 址 管理 
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第 1 章 IPv6 实施 的 动力 


1.1 因特网 : 一 个 成 功 的 故事 


因特网 (Internet) 已 经 产生 很 和 人 了， 从 20 世纪 60 年 代 美 国 国 防 部 的 一 个 
有 抗 毁 性 的 互相 连接 的 网 络 ， 已 经 演化 成 一 个 全 球 性 的 通信 方式 。Tim Berners- 
Lee 发 明了 万 维 网 (WWW, Word Wide Web) ， 定 义 了 超 文本 格式 ， 从 而 连接 了 
不 同 的 信息 ， 并 且 这 些 信 息 可 以 方便 地 由 浏览 需 获 取 。 万 维 网 加 上 那个 简单 的 
只 需 通过 点 击 来 进行 的 用 户 交 互 手 段 ， 让 因特网 从 政府 和 科学 家 的 实验 室 进入 
了 寻常 百姓 家 。Email 是 第 二 重要 的 因特网 应 用 ， 它 也 促进 了 20 世纪 90 年 代 中 
期 对 因特网 服务 的 广泛 应 用 。 今天 的 因特网 用 户 会 发 现 这 些 丰 富 的 信息 和 各 式 
各 样 不 同 的 应 用 程序 在 他 们 的 生活 中 不 可 或 缺 。 假 如 著名 的 网 络 应 用 ， 像 
Facebook 、Youtube 、Twitter 、Google 、Blogger， 网 购 及 新 闻 网 站 ， 甚 至 那些 出 色 
的 电子 邮箱 服务 突然 消失 了 ， 大 多 数 人 会 变 得 无 所 适 从 。 

但 是 目前 ， 因 特 网 中 丰富 的 信息 和 大 量 的 应 用 程序 也 不 是 世界 各 地 都 能 
便 地 访问 的 。 图 1-1 所 示 的 世界 各 地 因特网 渗透 率 ， 这 是 因特网 世界 统计 
(Internet World Stats) 网 站 的 统计 数据 ， 描 绘 了 在 2012 年 中 期 不 同 地 区 的 因 特 
网 的 渗透 率 ， 它 是 由 当地 因特网 用 户 量 占 总 人 口 比 例 来 衡量 的 。 只 有 1/3 强 的 
世界 人 口 可 以 使 用 因特网 。 因 特 网 渗透 率 在 北美 是 最 高 的 ， 超 过 78% ; 欧洲 次 
Z, 约 63%; 在 亚洲 人 口中 ， 渗 透 率 只 有 约 28% 。 

再 从 另 一 个 角度 来 看 相同 的 数据 ， 图 1-2 所 示 为 世界 各 地 因特网 用 户 的 比 
例 。 对 比 图 1-1 和 图 1-2 所 示 ， 我 们 可 以 注意 到 ， 虽 然 在 亚洲 的 因特网 渗透 率 是 
28%, 但 是 亚洲 的 因特网 用 户 是 最 多 的 ， 有 十 亿 之 多 ， 占 世界 因特网 用 户 的 
45% 。Internet World Stats 网 站 估计 世界 因特网 用 户 达 到 24 亿 。 

因为 世界 因特网 用 户 渗透 率 只 有 34% ， 看 起 来 似乎 还 有 很 大 的 增长 空间 ; 
而 且 ， 由 于 存在 每 个 人 需要 多 台 不 同 设备 的 可 能 性 ， 这 个 会 产生 对 IP 地 址 的 大 
量 需 求 。 但 是 ， 什 么 样 的 环境 会 促进 这 样子 的 增长 呢 ? 最 近 一 个 世界 银行 的 调 
查 报 告 显示 : 在 中 低 收入 国家 ， 每 10% 的 互联 网 渗透 率 的 增长 对 应 1. 12% 的 国 
家 的 平均 经 济 增长 〈 以 国内 生产 总 值 衡量 ) ”1 。 另 一 方面 ，10% 的 宽带 渗透 率 平 
均 带 来 1.38% 的 GDP 增长。 报告 还 赞扬 了 宽带 建设 带 来 的 社会 经 济 福利 ， 包 括 
增加 就 业 、 增 加 创业 机 会 、 提 供 社会 联系 及 提供 公共 基础 信息 服务 。 即 使 有 些 
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图 1-1 世界 各 地 因特网 渗透 率 吕 


中 东 
,90.0 百 万 大 洋 洲 /澳大利亚 
非洲 4% ”24.3 百 万 1% 


167.3 百 万 
7% 
拉丁 美洲 /加 勒 比 ú 
254.9 百 万 
11% 


北美 洲 
273.8 百 万 
11% 


亚洲 
1076.7 百 万 
45% 


欧洲 
518.5 百 万 
21% 


图 1-2 世界 各 地 因特网 用 户 的 比例 


国家 会 限制 对 于 一 些 内 容 或 应 用 的 使 用 ， 经济 和 因特网 的 增长 关系 还 是 很 难 被 
忽视 的 。 

在 过 去 的 十 年 显示 强劲 的 增长 趋势 。 图 1-3 给 出 了 因特网 用 户 和 世界 渗透 
率 的 增长 情况 。 这 看 起 来 就 是 呈 比 全 增长 。 表 1-1 给 出 了 世界 各 地 因特网 用 户 
增长 情况 ， 其 中 包括 2000 ~ 2011 年 各 地 区 的 年 复合 增长 率 (Compound Annual 
Growth Rate，CAGR) ， 世 界 平 均 复 合 年 增长 率 是 18% 。 
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图 1-3 因特网 用 户 和 世界 渗透 率 的 增长 情况 
表 1-1 世界 各 地 因特网 用 户 增长 情况 
地 区 2000/ 百 万 20117 百 万 CAGR (%) 
非洲 4.5 139.9 37 
亚洲 114.3 1016.8 22 
欧洲 105. 1 500. 7 15 
中 东 3.3 77.0 33 
北美 洲 108.1 273. 1 9 
拉丁 美洲 /加 勒 比 18.1 235. 8 26 
大 洋 洲 /澳大利亚 7.6 23.9 11 
世界 总 数 361.0 2267. 2 18 


内 容 提供 商 或 者 “制造 者 (producers)” 的 数量 在 因特网 上 也 在 快速 增长 ， 
这 是 通过 新 网 站 的 数量 来 衡量 的 (根据 英国 Netcraft 公司 中 (一 家 互联 网 研究 与 
安全 服务 公司 ) 提供 的 数据 )。 如 图 1-4 所 示 ， 到 2012 年 6 月 ， 发 现 的 唯一 网 
络 主机 名 的 总 数 达 到 近 七 亿 ， 其 中 活跃 网 站 ( 非 模 板 (non-template)， 仪 根据 
注册 信息 ) 将 近 有 两 亿 。 两 种 度量 值 都 在 过 去 两 年 中 加 速 上 涨 。 在 某 一 个 时 间 
点 以 后 也 许 新 的 想 要 拥有 自己 的 网 站 和 主机 的 组 织 机 构 只 能 注册 IPv6 地 址 来 提 


供 服务 。 
1.1.1 供应 方面 的 问题 


考虑 到 因 特 用 户 和 内 容 提供 


商 数量 持续 增长 的 历史 、 相 对 不 高 的 渗透 率 和 


因特网 增长 带 来 的 经 济 利益 这 系列 因素 以 后 ， 有 理由 相信 因特网 用 户 需求 和 生 
产 者 需求 将 会 持续 上 升 。 不 幸 的 是 ， 如 今 IPv4 地 址 分 配 能 力 不 足 以 支持 这 种 需 
求 的 增长 。 而 IPv4 地 址 枯竭 之 时 ， 无 论 从 哪 点 来 看 ， 唯 一 可 以 用 来 文 持 这 种 地 
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因特网 站 点 
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图 1-4 已 测量 的 因特网 网 站 数量 中 


址 分 配 需求 的 协议 只 有 IPv6。 

因特网 名 称 和 数字 地 址 分 配 机 构 (Internet Assigned Names and Numbers 
Authority, IANA) 在 2011 年 2 月 3 日 宣布 已 经 分 配 出 最 后 一 个 地 址 空间 给 区 域 
因特网 注册 管理 机 构 «(Regional Internet Registty，RIR) ， 那 一 天 其 实 就 是 所 知 的 
因特网 末日 的 开始 。 图 1-5 所 示 的 IP 地 址 空间 层次 ， 解 释 了 IP 地 址 空间 的 “ 食 
物 链 (food chain)”, JL, IANA 把 基础 地 址 块 分 配给 RIR, IANA 是 因特网 名 
称 和 编号 分 配 公 司 (Internet Corporation for Assigned Names and Numbers, 
ICANN) 的 一 个 部 门 ， 而 ICANN 本 身 是 一 个 由 世界 各 地 成 员 组 成 的 非 音 利 性 公 
益 组 织 。IANA 是 因特网 域名 的 中 心 协调 主体 ， 管 理 着 域名 系统 (Domain Name 
System, DNS) 的 根 (root) 域名 和 一 些 其 他 最 高 等 级 (top-level) 的 域名 、 因 
特 网 号 码 资源 CIP 地 址 ) ， 以 及 协议 任务 (特定 协议 的 参数 ， 如 动态 主机 配置 
协议 (Dynamic Host Configuration Protocol, DHCP) 的 可 选 参数 的 任务 ) 。 

RIR 是 一 个 负责 将 它们 从 IANA 得 到 的 地 址 空间 在 它们 对 应 的 地 区 进行 地 址 
分 配 的 组 织 : 

© AfriNIC (Africa Network Information Centre) 一 一 非洲 地 区 。 


e ARIN (American Registry for Internet Numbers) 一 一 北美 地 区 ,包括 波多 
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RIPE 其 他 
国家 
IRS 
— 


本 地 本 地 本 地 .. Eei 
IR/ISP IR/ISP IR/ISP IR/ISP 
| | | 


图 1-5 IP 地 址 空间 层次 多 


f 
E 


黎 各 和 一 些 加 勒 比 海岛 。 

e LACNIC (Regional Latin- American and Caribbean IP Address Registry) 一 一 
拉丁 美洲 和 一 些 加 勒 比 海岛 。 

e RIPE NCC (Reseaux IP Europeens Network Coordination Centre) 一 一 欧洲 、 
中 东 和 亚洲 中 部 。 

RIR 负责 分 配 IP 地 址 给 国家 因特网 注册 管理 机 构 (National Internet 
Registriy, National IR) 、 当 地 因特网 注册 管理 机 构 (Local Internet Registry, LIR) 
和 互联 网 服务 提供 商 (Internet Service Provider，ISP) 。 它 分 配 IP 地 址 时 会 遵循 
以 下 原则 ; 

o 了 唯一 性 (Uniqueness) ， 每 一 个 IP 地 址 必须 是 世界 唯一 的 ， 以 保证 全 球 因 
特 网 选 路 。 

e 聚合 (Aggregation) ， 分 级 的 地 址 空间 分 配 保证 了 对 因特网 上 IP 流量 的 合 
理 路 由 。 没 有 聚合 ， 路 由 表 会 变 得 破碎 不 堪 ， 这 最 终 会 造成 因特网 中 的 一 个 大 
瓶颈 。 

e 保护 (Conservation) ， 特 别 是 IPv4 ， 但 也 包括 IPv6， 地 址 必须 根据 实际 的 
需求 进行 分 配 。 

e 登记 ( Registration) , 一 个 公共 可 访问 的 IP 地 址 分 配 记录 ， 可 以 减少 分 歧 
并 且 可 以 在 解决 纷争 时 起 到 帮助 。 这 个 记录 就 叫做 WHOIS 数据 库 。 今天, 已 经 
有 很 多 WHOIS 数据 库 。 只 不 过 现在 这 些 数据 库 不 再 仅 是 由 RIR 运作 ， 还 可 能 由 
LIR/ISP 运作 。 

e 公 正 〈Fairness) ， 主 要 根据 地 址 的 实际 需求 而 非 长 期 的 计划 来 不 偏 不 倚 地 
分 配 地 址 。 
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不 论 如 何 努力 通过 技术 来 延长 IPv4 的 生命 ,如 网 络 地 址 转换 ( Network 
Address Translation, NAT) 和 无 类 别 域 间 路 由 (Classless Inter- Domain Routing, 
CIDR), A RIR 的 对 IPv4 地 址 空间 的 转变 和 销售 的 策略 ， 最 终 RIR 都 会 给 自 
己 的 子 组 织 分 配 出 自己 最 后 的 IPv4 地 址 空间 。 而 ISP 最 终 也 会 分 配 地 址 给 它们 
的 消费 者 〈 一 般 是 企业 业务 ) 而 耗 尽 自己 的 IPv4 资源 。APNIC 和 RIPE NCC 
RIR 早 就 用 尽 了 自己 对 应 的 IPv4 地 址 空间 。 


11.2 在 十 字 路 口 的 因特网 


而 这 一 切 又 意味 着 什么 呢 ? 当 IPv4 地 址 在 某 一 给 定 RIP 区 域 ISP 中 分 配 殖 
尽 的 时 候 ， 当 这 个 区 域 任 何 一 个 新 的 机 构 在 要 求 新 的 IP 地 址 空间 ， 或 者 现 有 机 
构 要 求 追加 IP 地 址 空间 时 ， 就 会 被 分 配 一 个 IPv6 的 地 址 。 新 的 机 构 在 网 上 初次 
出 现时 ， 它 们 将 只 能 通过 IPv6 进行 访问 。 而 新 的 “ 纯 IPv6” 组 织 持续 加 入 网 
络 ， 则 会 导致 互联 网 组 成 由 纯 IPv4 互联 网 慢 慢 转变 成 Pwd 和 IPv6 的 混合 互联 
网 。 至 于 IPv6 协议 在 互联 网 中 的 密度 究竟 会 增长 得 多 快 ， 最 后 能 增长 到 什么 程 
度 ， 还 有 待 观察 。 

纯 IPv6 用 户 的 增长 应 该 最 早 会 出 现在 亚洲 。 如 图 1-6 所 示 ， 根 据 国 际 货币 
基金 组 织 (International Monetary Fund, IMF) 的 统计 结果 , 亚洲 主要 国家 ( 特 
别 是 中 国 和 印度 ) 的 经 济 在 最 近 几 年 比 世 界 其 他 地 方 增长 得 更 迅速 。 从 2000 年 
到 2011 年 ， 中 国 的 年 平均 CDP 增长 率 是 10.2% ， 印 度 的 是 7. 1% ， 而 世界 平均 
值 是 2.7% 。 这 样 就 相应 增加 了 可 支配 的 收入 ， 以 及 政府 在 通信 技术 (如 宽带 和 
无 线 ) 上 的 基础 设施 投资 。 英 国 Point Topic 有 限 公 司 分 析 认 为 ,在 2012 年 上 半 
年 世界 上 增加 的 宽带 几乎 一 半 在 亚洲 。 英 国 Point Topic 公司 的 报告 和 Internet 


2¢ 


GDP 年 增长 率 (%) 


-$ 


Al 1-6 IMF 统计 的 2006 年 ~2010 年 世界 及 部 分 国家 、 地 区 的 GDP 增长 情况 
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World Stats 网 站 的 相 呼 应 ，Internet World Stats 网 站 的 报告 认为 虽然 亚洲 有 世界 
最 多 的 互联 网 用 户 量 ， 差 不 多 有 十 亿 , 但 是 它 的 互联 网 渗透 率 是 低 于 地 界 平均 
IKE (33%) 的 ， 只 有 约 28% 。 

虽然 在 2012 年 增 速 有 一 些 下 降 ， 但 是 因特网 用 户 的 增长 率 仍 然 十 分 高 ， 这 
刺激 了 区 域 和 世界 的 服务 提供 商 实 施 转 换 网 关 、 隧 道 代 理 等 一 系列 类 似 技术 。 
这 些 将 在 本 书 第 3 童 详细 描述 (这些 技术 都 是 些 保证 IPv4 和 IPv6 网 络 相互 通信 
的 技术 一 一 译 者 注 ) 。 根 据 所 选择 的 方法 ， 这 些 技术 会 为 服务 提供 商 提供 用 户 驻 
地 设备 (Customer Premises Equipment，CPE ) ， 这 个 用 户 驻 地 设备 会 配置 IPv4 或 
IPv6 地 址 并 有 能 力 访问 任何 IPv4 或 IPv6 的 目的 地 。 服 务 提供 商 将 必须 使 客户 能 
够 同时 访问 两 种 协议 ， 以 避免 客户 抱怨 说 日 己 是 IPv4 使 用 者 而 不 能 访问 IPv6 资 
源 或 说 自己 是 IPv6 使 用 者 却 不 能 访问 IPv4 资源 。 


1.1.3 使 用 哪 一 种 因特网 


现在 可 以 很 明确 地 知道 ， 如 今 的 因特网 是 在 转型 的 关键 点 。 在 这 个 时 候 ， 也 
许 你 会 问 亚洲 部 署 IPw6 和 自己 有 什么 关系 。 其 实 理由 很 简单 ， 无 处 不 在 的 因特网 
都 要 面 对 这 个 问题 。 假 设 每 一 个 有 丰富 IPv4 地 址 的 组 织 持续 管理 一 个 现存 的 纯 的 
IPv4 的 网 络 ， 那 么 那些 新 增加 的 IPv6 的 用 户 将 无 法 访问 它们 。 与 之 相对 ， 这 些 纯 
IPv4 网 络 的 用 户 也 无 法 访问 那些 纯 IPv6 的 网 络 内 容 。 不 幸 的 是 ， 现 在 没有 先天 的 
IPv4 与 IPv6 的 转化 机 制 ， 所 以 把 一 个 IPv6 的 包 发 送 给 一 个 IPv4 的 网 络 服务 器 会 导 
致 这 个 包 在 到 达 服 务 带 之 前 就 被 丢弃 。 因 此 一 个 分 又 的 互联 网 可 能 会 衍生 出 两 个 
不 同 版 本 的 网 络 层 。 这 将 是 最 不 幸 的 ， 更 是 目光 短 浅 的 。 

不 仅 无 所 不 在 的 因特网 正 处 在 关键 点 上 ， 世 界 各 国 的 竞争 力 和 领导 力也 处 在 
这 样 一 个 转变 的 关键 点 上 。 欧 洲 RIPE NICC 组 织 定期 的 图 表 报 告 '” 显示 了 在 自己 
广告 中 把 IPv6 加 在 前 绥 里 的 边际 网 关 协议 的 自治 区 (BGP ASN) 的 比例 。 边 际 网 
关 协 议 (Border Gateway Protocol, BGP) 是 在 互联 网 主干 网 络 上 的 路 由 协议 。 而 每 
一 个 自治 区 编号 (Autonomous System Number, ASN) 代表 一 个 组 织 。 在 2012 年 ， 
所 有 地 区 都 经 历 了 超过 32% 的 IPv6 互联 网 路 由 数量 的 增长 。 到 写本 书 时 ， 世 界 上 
差不多 有 15% 的 组 织 (ASN) 已 经 获取 IPv6 地 址 空间 ， 并 且 部 署 了 IPv6， 至 少 保 
证 了 其 外 部 可 达 性 。 如 果 你 的 竞争 对 手 在 这 之 中 ， 新 兴 的 需要 使 用 IPv6 的 市 场 ， 
特别 是 亚洲 市 场 ， 那 么 你 究竟 能 多 快 地 做 出 反应 ? 总 的 来 说 ， 支 持 一 个 不 断 发 展 
的 现 有 的 可 通达 世界 各 地 的 网 络 是 IPv6 部 署 时 首要 考虑 的 因素 。 


1.2 新 兴 的 应 用 


除了 无 处 不 在 的 IPv4/IPv6 网 络 之 外 ， 一 些 新 兴 的 使 用 IPv6 的 应 用 将 会 给 人 
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们 的 生活 带 来 极 大 的 变化 。 虽 然 技 术 上 可 支持 IPv4， 这 个 “聪明 的 ”应 用 有 很 
高 的 移动 性 ， 很 大 的 地 址 空间 ， 并 且 可 以 根据 当前 网 络 位 置 自动 分 配 地 址 ， 这 
些 特征 都 不 是 IPv4 能 很 好 地 支持 的 。 昌 然 大 多 数 为 IPv6 协议 设计 的 特征 与 IPv4 
协议 的 有 很 多 相 接近 的 等 价 特征 ， 使 得 可 以 重新 应 用 在 IPv4 身上 ， 但 是 地 址 扩 
展 确实 是 IPv6 的 一 个 独一无二 的 优势 。 别 的 改进 包括 通过 更 有 效 的 路 由 、 地 址 
自动 分 配 、 在 网 际 的 报 文 分 段 ， 来 提升 包 路 由 效率 ,来 提升 移动 性 ， 通 过 人 简化 
IPv6 头 结构 来 提升 路 由 性 能 。 

从 来 没有 人 怀疑 过 IPv6 全 地 址 空间 地 址 分 配 能 力 。 而 地 址 的 自动 配置 和 对 
移动 性 的 支持 也 满足 了 主要 由 快速 增长 的 移动 设备 驱动 而 持续 增长 的 互联 网 的 
需求 。 但 是 ， 另 一 方面 ， 这 些 能 力也 为 一 类 新 的 应 用 提供 了 环境 ， 如 远程 传 感 
器 可 以 监视 、 侦 察 和 报告 给 中 心 应 用 处 理 。 这 种 新 兴 应 用 是 以 机 器 到 机 峰 
(Machine to Machine, M2M) 的 通信 为 基础 的 。M2M 定义 了 机 器 间 通 信 的 结构 
和 方法 ,来 收集 大 量 的 “大 数据 ”信息 ， 以 供 人 类 使 用 。 

图 1-7 给 出 了 基本 的 M2M 的 结构 。 从 图 的 底部 开始 ， 最 底部 部 署 的 是 有 特 
定 功用 的 传 感 需 (Sensor) ， 它 通过 聚合 器 (Aggregator) 把 监控 状态 报告 更 新 给 
M2M 网 关 。 一 个 为 监控 一 个 特定 物体 而 使 用 的 传感器 群 会 包含 一 个 M2M 区 域 网 
关 。 聚 合 器 可 以 被 部 署 用 于 接收 和 处 理 来 自 M2M 区 域 网 关内 部 的 传感器 群 的 最 
新 信息 。 在 一 些 情况 下 ， 传 感 器 会 直接 同 MM 网 关 通 信 ， 而 在 其 他 情况 下 是 由 
聚合 器 传递 传感器 信息 给 MM 网 关 ， 这 个 聚合 器 可 能 是 一 个 传感器 ， 也 可 能 是 
别 的 如 手机 一 样 的 设备 。 


传感器 传感器 


图 1-7 基本 的 M2M 结构 
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M2M 网 关 会 把 聚合 了 的 传感器 的 信息 发 送 给 M2M 应 用 服务 器 ， 而 这 个 服务 
器 将 处 理 的 最 新 信息 展示 给 应 用 使 用 者 。M2M 服务 器 也 可 能 对 传感器 报告 的 数 
据 进 行 分 析 以 发 出 警告 ， 或 者 主动 通知 用 户 一 些 侦 查 到 的 事件 。 而 这 个 “附加 
价值 (valued-added) ”处 理 能 力 ， 对 于 将 来 自 千 百 万 的 传 感 需 输入 的 数据 预 处 
理 成 一 个 可 执行 的 按 重要 度 划 分 清晰 的 监控 元 素 视 图 是 十 分 重要 的 。 

随 着 尺寸 、 成 本 和 能 耗 的 不 断 减少 ，M2M 传 感 右 设备 可 被 用 于 各 种 不 同 的 
功能 ， 并 支持 相应 应 用 。M2M 传感器 通过 无 线 电 与 其 他 传感器 、 聚 合 器 或 者 网 
关 进 行 通信 ， 提 供 传 感 顺 最 新 信息 给 相应 应 用 进行 分 析 。 从 IP 层 的 角度 来 看 ， 
RFC 6568 5 定义 了 “在 低 耗 能 无 线 个 人 空间 网 络 上 的 IPv6 的 设计 和 应 用 空间 
(IPV6 over Low-power Wireless Personal Area Network, 6LoWPAN )”。 这 个 
6LoWPAN 结构 和 M2M 对 应 得 很 好 ，LoWPAN 节点 和 传感器 对 应 ， 当 地 控制 节点 
和 M2M 聚合 器 对 应 。 而 网 关 接 口 则 在 OLOWPAN 结构 的 IP 层 中 贯穿 一 个 
LoWPAN 的 边际 路 由 器 。 

M2M 和 6LoWPAN 技术 为 服务 提供 商 和 传感器 、 应 用 开发 者 开辟 了 新 的 市 
场 ， 扩 展 了 对 公用 事业 、 政 府 当 局 、 医 疗 机 构 和 许多 部 门 更 多 的 服务 。 下 面 介 
绍 一 些 M2M 和 6LoWPAN 应 用 的 例子 。 

e 智能 应 用 (smart applications) 。 为 许多 智能 资源 管理 系统 和 客户 服务 系 
统 ， 提 供 一 个 对 于 一 些 没有 察觉 到 的 大 量 数据 的 中 心 视觉 。 这 些 系统 包括 : 

o 智能 网 格 (smart grid)。 根 据 需 求 自动 调控 电力 、 水 、 天 然 气 等 资源 ,， 减 
少 资 源 浪费 ， 节 省 消费 者 公用 事业 账单 。 

o 智能 汽车 (smart cars) 。 在 汽车 里 边 的 诊断 的 和 使 用 的 传感器 ， 可 以 提供 
性 能 报告 、 发 现 并 修复 故障 、 提 供用 坏 的 组 件 的 通知 、 推 荐 的 服务 检查 及 自动 
给 出 碰撞 检测 和 报告 。 

o 智能 家 庭 (smart homes), 。 对 房子 远程 监控 ， 远 程控 制 电 、 制 热 、 制 冷 、 
光照 、 娱 乐 设施 和 出 入。 

o 城市 和 工业 的 监控 和 监视 (Municipal and Industrial Surveillance and Monito- 
ring) 。 物 理 访问 的 控制 和 监控 、 极 端 条 件 下 的 环境 监控 (如 自然 灾害 、 火 灾 、 
水 灾 ) 、 结 构 监 测 和 交通 监测 。 

o 野外 应 用 (Field Applications) 。 舰 艇 的 管理 、 调 度 和 舰 载 交 通 工 具 的 远程 
言 息 处 理 。 

o 卫生 保健 (Healthcare) 。 远 程 监视 病人 的 重要 生命 的 信号 ; 诊断 和 药物 管 
理 ;“ 身 体 区 域 网 络 ” (body area networks); 严格 的 医用 库存 环境 的 监视 ， 如 血 
效 、 器 官 的 保存 环境 。 

e 工业 (Industrial)。 工 厂 流水 线 监视 、 诊 断 程序 、 资 源 控制 、 供 应 链 管 理 、 
作业 管理 和 控制 无 线 网 络 提供 的 可 达 性 。 
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e 军事 (Military) 。 战 场 专用 网 络 通过 不 同 士兵 的 传感器 向 军事 指挥 报告 状 
态 更 新 。 

这 些 应 用 和 别 的 与 它们 相似 的 应 用 通常 需要 部 署 成 百 上 千 甚 至 百 万 的 传 感 
器 ， 这 些 传感器 的 度量 和 状态 信息 必须 传送 给 中 央 应 用 服务 器 ， 以 供 处 理 和 展示 。 
M2M 结构 是 以 一 些 十 分 常见 的 途径 来 文 持 这 些 功能 的 ， 这 些 途 径 包 括 网 络 接 人 
(network access) 、 可 靠 通信 (reliable communication ) 、 安 全 保障 (security) 和 集 
中 管理 (centralized management) 。 

可 能 会 出 现 非常 多 的 MM 设备 ， 可 以 认为 IPv6 提供 了 这 样 一 个 逻辑 网 络 
JR, Ee “Beth” (designed in) 以 提供 非常 大 增长 空间 ， 特别 是 当 新 的 M2M 应 
用 出 现时 可 以 避免 之 后 对 IPv6 的 升级 。 自 动 配置 特性 对 M2M 也 十 分 有 益 ， 因 为 
当 传感器 被 部 署 并 且 被 从 省 电 模式 唤醒 的 时 候 ， 它 们 可 能 会 需要 通过 通告 路 由 
(router advertisement) 确定 自己 连接 的 网 络 ， 并 且 通 过 接口 ID (Interface ID) 获 
得 IPv6 地 址 。 当 成 功 通过 冲突 地 址 检测 过 程 (duplicate address detection process) 
后 ， 这 个 地 址 就 是 活跃 (active) WTO. Ba, vere IPv6 协议 在 于 与 标准 组 相 
关 的 应 用 以 及 许多 包括 IPv6 支持 和 IPv4 支持 的 应 用 。 


1.3 IPv6 商业 案例 


每 一 个 组 织 必须 要 确定 几 个 问题 : 是否 需 要 部 团 I Pv6， 什么 时 候 部 署 IPv6 
和 如 何 部 署 IPv6。 在 “无 作为 ”到 “完全 部 署 I Pv6” 的 连续 区 域 中 间 有 很 多 不 
同等 级 的 实现 方法 。 对 于 那些 怀疑 IPv6 的 实施 是 否 必 要 的 人 ， 本 书 的 建议 是 ， 
至 少 要 了 解 进行 定量 分 析 部 署 IPv6 时 需要 做 的 事 ， 这 样 在 一 些 网 络 事件 或 者 新 
闻 刺 激 了 你 的 领导 ， 使 他 打 电 话 给 你 让 你 尽快 实施 IPv6 的 时 候 ， 你 能 很 快 地 实 
施 。 下 面 将 会 讨论 这 个 高 级 过 程 (也 就 是 分 析 IPv6 实施 需要 做 的 事情 的 过 程 ) 。 
如 果 你 打算 开始 向 前 进 ， 对 于 之 后 工作 的 必要 的 深入 讨论 将 在 本 书 第 4 章 展 开 。 
然而 ， 最 初 的 练习 是 有 益 于 帮助 你 了 解 进行 快速 部 署 需要 什么 ， 以 及 大 约 需要 
多 长 时 间 的 。 

毫 无 疑问 ， 因 特 网 无 论 是 在 用 户 量 上 还 是 在 内 容量 上 都 还 在 持续 增长 。 这 
个 增长 必然 会 稀释 几乎 100% 的 IPv4 网 络 密度 ， 也 必然 会 产生 一 个 越 来 越 混 合 
的 网 络 。 同 时 支持 IPv4 和 IPv6 为 你 的 组 织 保持 网 络 的 可 达 性 并 不 是 非常 困难 
的 ， 但 也 不 是 非常 简单 的 。 部 署 IPv6 需要 对 现存 的 IPv4 网 络 进行 分 析 ， 确 定 
IPv6 部 署 范围 ， 确 定 网 络 设备 、 应 用 或 终端 的 升级 或 修改 ， 以 及 管理 整个 项 目 


O ”地址 状态 更 多 的 细节 将 在 本 书 第 2 章 讨论 。 
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直到 项 目 结束 。 本 书 的 目的 之 一 就 是 帮助 你 实现 这 整个 过 程 。 

在 开始 这 个 过 程 之 前 ， 需 要 你 对 所 有 的 资源 分 配 做 出 合理 解释 。 从 开始 
IPv6 部 署 项 目 或 该 项 目的 发 现 和 评估 阶段 ， 资 本 支出 和 费用 的 支付 就 必须 要 非 
常 清楚 。 获 取现 有 网 络 和 计算 系统 的 文档 可 以 帮助 你 分 析 发 现 过 程 和 评估 过 程 
甚至 是 整个 部 署 过 程 的 费用 。 

在 以 收益 的 提升 、 费 用 的 降低 和 /或 销售 损失 的 减少 来 衡量 带 来 的 好 处 方 
面 ， 在 你 的 业务 中 还 应 该 分 析 以 下 各 点 : 

© 持续 利润 增长 ， 特 别 是 对 于 依靠 IP 连接 性 的 服务 提供 商 。 

o 现存 的 世界 性 因特网 ， 如 果 你 的 组 织 为 世界 各 地 的 客户 提供 服务 或 产品 。 
一 开始 不 执行 IPv6 的 机 会 成 本 是 那些 IPv6 用 户 无 法 访问 你 的 网 站 。 由 于 因特网 
的 发 展 很 大 程度 上 取决 于 IPv6 的 用 户 增 长 ， 你 的 组 织 将 错失 这 些 潜在 的 增长 。 
此 外 你 的 内 部 用 户 也 无 法 访问 到 IPv6 网 络 上 的 资源 。 

© 如 果 你 所 在 的 组 织 属于 信息 技术 产业 领域 ,IPv6 的 使 用 将 产生 更 多 的 影 

响 ， 可 增加 企业 的 竞争 优势 。 
越 来 越 多 的 雇员 把 他 们 自己 的 设备 (Bring Your Own Device, BYOD) 带 来 
上 班 ， 很 多 现在 和 未 来 的 便携 设备 都 支持 IPv6， 而 且 很 多 主流 的 操作 系统 都 默 
认 支 持 IPv6。 如 果 你 的 工作 伙伴 只 有 IPv6 的 地 址 空间 ， 那 么 你 至 少 应 该 想 办 法 
为 和 这 种 地 址 空间 进行 联系 而 支持 IPv6。 

e 在 拥有 用 户 终端 设备 IPv6 的 支持 后 ， 其 IPv6 通信 量 的 网 络 可 见 性 。 对 于 
IPv6 原生 和 隧道 网 络 及 来 自 外 部 使 用 IPv6 的 探查 和 攻击 的 察觉 和 可 视 化 ， 对 于 
网 络 安全 是 十 分 必要 的 。 

o 使 用 IPv6 特有 的 特征 来 支持 新 型 应 用 ， 特 别 是 移动 性 和 自动 配置 。 

e 为 IT 或 者 运作 团队 提供 一 个 有 趣 而 又 有 挑战 的 工作 环境 。 据 我 所 知 ， 管 
理 一 个 IPv4/IPv6 环境 肯定 比 管理 一 个 单独 协议 的 网 站 要 复杂 ， 但 这 也 对 雇员 的 
知识 增长 和 事业 发 展 有 益 。 

e 由 于 规则 和 法 律 要 求 而 支持 IPv6。 

你 也 许 希 望 根据 IPv6 网 络 的 密度 来 描述 机 会 成 本 。 例 如 ， 某 个 时 间 IPv6 网 
络 用 户 和 网 址 在 互联 网 上 达到 20% ， 这 也 许可 以 代表 一 个 足够 大 的 人 口 数量 ， 
来 证 明 部 署 IPv6 并 且 与 包括 那 20% 的 整个 因特网 相通 的 正确 性 。 这 仅 是 一 个 你 
们 组 织 需 要 做 的 决策 黑 了 。 但 无 论 这 个 密度 是 1% 还 是 99% ， 有 一 个 在 一 个 特定 
时 间 开 始 部 署 IPv6 的 计划 对 你 来 说 都 是 十 分 重要 的 。 

基本 的 项 目 授权 过 程 如 图 1-8 所 示 ， 它 是 从 定义 这 个 项 目的 目标 开始 的 。 
一 个 或 者 多 个 上 面 提 到 的 好 处 可 以 作为 你 这 个 部 署 过 程 的 目标 ， 它 也 可 以 帮助 
你 关注 部 署 实施 的 范围 。 有 了 你 的 目标 、 范 围 、 对 网 络 文档 的 高 等 级 的 评估 及 
这 本 书 概述 的 过 程 ， 你 应 该 可 以 预测 出 资源 费用 和 时 间 期 限 。 根 据 你 的 组 织 的 
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不 同 ， 对 项 目 具体 批准 的 程度 的 期 望 也 会 不 同 。 也 许 你 只 是 希望 批准 发 现 和 评 
佑 阶段 之 后 重新 遍历 整个 项 目 ， 那 之 后 再 考虑 整体 的 批准 。 


开始 IPv6 定义 IPv6 
批准 阶段 部 署 目标 


标 和 总 体 目 
标 时 间 点 


进行 高 等 
级 的 分 析 


展示 高 等 级 
的 计划 〈 阶 


IPv6 计 
划 流 程 


缩小 规模 或 
a 逐步 执行 计 


图 1-8 基本 的 项 目 授权 过 程 


根据 你 决策 的 准则 ， 评 估 你 的 网 络 、 找 出 差距 和 创建 项 目 计 划 ， 无论 是 对 
立刻 执行 部 署 或 者 是 对 延迟 执行 部 署 都 有 帮助 。 本 书 描述 的 整个 部 署 过 程 包括 
五 个 基本 步 又 ， 如 图 1-9 所 示 。 本 章 已 叙述 了 批准 过 程 ， 这 是 一 个 需要 对 部 署 
目标 、 部 署 范围 、 部 署 计 划 、 部 署 预 算 和 IPv6 部 署 神 益 的 基本 定义 。 本 书 下 面 
很 多 内 容 将 描述 下 一 个 阶段 一 一 计划 阶段 。 这 个 阶段 对 于 减少 意外 发 生 ， 并 让 
整个 部 署 过 程 更 加 顺畅 十 分 重要 。 本 书 对 计划 阶段 的 四 个 核心 方面 各 分 一 章 描 
述 ， 内 容 包括 : 网 络 和 计算 基础 设施 的 评估 和 计划 、IP 地 址 的 计划 、 安 全 计划 , 
以 及 网 络 管理 计划 。 一 个 有 效 的 计划 之 后 是 部 署 实施 阶段 ， 这 个 阶段 包括 初始 
测试 和 在 部 署 运作 后 的 验证 过 程 。 


IPv6 项 目 ti IPv4/IPv6 不 再 使 用 


图 1-9 整个 部 署 过 程 


一 旦 部 署 完成 ， 除 了 一 些小 的 修改 和 小 的 添加 ， 对 IPv4/IPY6 网 络 的 管理 过 
程 和 单独 管理 IPv4 网 络 的 一 样 。 在 某 一 个 时 间 点 ， 也 许 是 可 预见 的 未 来 ，IPv4 
将 会 退休 。 现 在 这 个 时 间 点 很 难 预计 ， 但 是 某 一 天 这 一 定 会 发 生 ， 虽 然 不 大 可 
能 会 在 今后 的 20 年 内 发 生 。 

在 开始 对 计划 过 程 各 个 核心 方面 详细 描述 之 前 ， 十 分 有 必要 先 了 解 IPv6 和 
那些 在 IPv4 网 络 里 实施 IPv6 所 用 到 的 技术 和 策略 。 本 章 第 2 章 和 第 3 章 先 讨论 
这 两 方面 内 容 。 之 后 的 章节 将 会 描述 计划 过 程 、 配 置 过 程 和 管理 过 程 。 
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TPv6° FH IPv4 演变 而 成 ， 但 是 IPv6 却 并 不 与 IPv4 兼容 2。 这 种 不 兼容 使 得 
IPv6 需要 在 IPv4 上 另外 进行 部 署 。 本 书 第 3 章 描述 了 多 种 使 得 IPv4/IPv6 兼容 的 
技术 。IPv6 建立 的 一 个 主要 目标 就 是 要 根据 过 去 20 年 使 用 IPv4 的 经 验 对 IPv4 
进行 重新 设计 。IPv4 对 现实 世界 中 的 应 用 支持 从 一 开始 就 被 设计 进 了 IPv6， 这 
包括 对 安全 性 、 多 播 、 移 动 性 和 自动 配置 的 支持 。 

IPv6 与 IPv4 最 显著 的 不 同 点 是 IPv6 对 IP 地 址 字段 进行 了 极 大 的 扩充 。 这 
是 因为 IPv4 使 用 的 是 32 位 地 址 ， 而 IPv6 使 用 了 128 位 。 一 个 32 位 地 址 空间 可 
以 提供 最 多 2 的 32 次 方 ， 约 42 亿 个 地 址 ; A a 
128 WIT, 23.4 x10” 个 地 址 9S。 下 面 用 一 些 实际 情况 了 解 一 下 这 个 庞大 的 数字 
吧 ， 例 如 : 

© 对 于 拥有 65 亿 人 口 的 地 球 来 说 ， 平 均 每 人 可 以 拥有 5 x10* 个 IP 地址。 

o 对 于 地 球 表面 来 说 ， 平 均 每 英寸 土地 都 可 以 分 配 4.3 x10” 个 了 下 地 址 。 

e 离 我 们 最 近 的 仙女 座 星系 ， 大 约 有 250 万 光 年 的 距离 ， 如 此 长 的 距离 ， 每 
纳米 上 可 以 分 配 到 1400 万 个 IP 地 址 。 

如 同 IPv4 一 样 ， 由 于 低 效 的 子 网 划分 ， 并 不 是 每 一 个 IPv6 地 址 都 被 充分 利 
H, 但 是 一 点 点 地 址 的 浪费 对 于 这 么 庞大 的 IPv6 地 址 容量 来 说 可 以 说 是 微 不 足 
道 的。 除了 这 看 起 来 用 之 不 竭 的 IP 地 址 ，IPv6 和 IPv4 也 有 许多 相似 的 地 方 。 例 
如 ， 在 最 基本 的 层次 ,“IP 数据 报 ” 的 概念 也 同样 适用 于 IPv6; 又 如 IPv4 中 数 
据 报 头 、 数 据 报 内 容 、 协 议 层 、 数 据 报 路 由 、CIDR 分 配 、 互 联网 控制 报 文 协议 
(Internet Control Message Protocol ，ICMP) ， 多 播 寻 址 等 ， 也 是 如 此 。 


2.1 IPv6 主要 特性 


IETF 尝试 将 IPv4 演化 成 IPv6。 这 种 从 IPv4 迁移 到 IPv6 的 演化 策略 计划 使 


~ 版 本 5 从 来 没有 作为 IP 的 官方 版 本 实现 ，IP 报头 的 版 本 号 “5” 分 配给 表示 携带 一 个 称 为 ST 
的 实验 的 实时 流 协 议 的 包 ， 即 因特网 流 协 议 ， 如 果 你 想 了 解 更 多 有 关 ST 的 内 容 ， 请 查看 本 书 参 
考 文献 [10] RFC 1819, 

O ”本章 部 分 信息 基于 本 书 参考 文献 [11], 

四 “我们 用 美国 的 undecillion， 即 10% ， 而 不 是 英国 的 定义 10% 。 
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得 IPv6 提供 许多 新 特性 ， 这 些 新 特性 建立 在 使 IPv4 如 此 成 功 的 基础 概念 上 。 
IPv6 的 主要 特性 包括 以 下 儿 项 . 
o 扩展 寻 址 一 一 128 位 分 层 分 配 的 地 址 范围 ( 如 本 地 链 路 和 全 球 ) 去 提升 扩 


展 性 。 
e 路 由 一 一 强大 的 分 层 路 由 ， 支 持 路 由 聚合 。 


。 性 能 一 一 简单 (不 可 靠 、 无 连接 ) 数据 报 服务 。 
o 可 扩展 性 一 一 新 的 灵活 的 扩展 头 为 新 头 类 型 提供 更 好 的 扩展 性 和 更 高 效 的 
路 由 。 


e 多 媒体 流标 签 头 字段 促进 服务 质量 (Quality of Service, QoS) 支持 。 
e 多 播 一 一 强制 代 蔡 广播 。 

e 安全 一 一 内 置 的 身份 验证 和 加 密 ， 尽 管 不 是 强制 的 。 

e 自动 配置 一 一 IP 设备 的 无 状态 及 有 状态 地 址 的 自动 配置 。 

© 移动 性 一 一 移动 IPv6 支持 改进 的 网 络 路 由 和 漫游 。 


2.2 IPv6 报头 


IPv6 报头 如 图 2-1 所 示 。 可 以 看 到 源 地 址 和 目标 地 址 长 度 是 IPv4 的 四 倍 ， 
而 IPv6 报头 的 大 小 仅 是 IPv4 的 两 倍 。IPv6 报头 字段 如 下 : 

版 本 (Version ) 。 互 联网 协议 ， 这 里 版 本 为 6。 

流量 类 别 (Traffic Class) 。 这 个 字段 类 似 IPv4 的 服务 类 型 /分 区 服务 
( Differentiated services) 字段 ， 用 来 区 分 流量 类 型 或 者 流量 的 优先 权 ， 以 此 来 请 
求 响应 的 路 由 服务 。 

流标 签 (Flow label) 。 可 以 根据 源 地 址 和 目标 地 址 从 “ 流 ” 中 区 分 报 文 的 
归属 。 这 是 为 了 在 一 个 通信 对 话 中 保证 高 效 和 一 致 的 路 由 服务 。 

有 效 负 载 长 度 (Payload length) 。 这 表示 在 基本 IPv6 报头 之 后 的 部 分 还 有 多 
少 个 字 节 ， 显 示 了 IPv6 的 负载 长 度 。 如 果 有 扩展 报头 (Extension Head) 的 话 ， 
也 是 载荷 的 一 部 分 ， 并 且 计 算 在 负载 长 度 之 内 。 

下 一 个 报头 (Next Header) 。 这 个 字段 指明 了 当前 报头 之 后 还 有 哪 种 扩展 报 
头 。 这 可 能 是 一 个 上 层 协 议 的 报头 (A TCP、ICMPv6 ) ， 或 者 一 个 扩展 报头 。 扩 
展 报头 可 以 用 来 提供 一 些 额 外 的 信息 ， 如 路 由 、 分 段 、 选 项 和 一 些 有 需要 时 与 
报 文 关联 的 其 他 参数 ， 并 非 像 IPv4 一 样 要 求全 部 报头 都 包含 这 些 字段 ,而且 参 
数 的 编码 就 跟 那 些 已 有 的 IPv4 头 字段 中 的 编码 一 样 。 

跳 数 限制 (Hot Limit), PE IPv4 中 的 生存 时 间 (Time To Live, TTL) 字段 一 
样 ， 这 个 字段 指出 了 这 个 报 文 在 被 丢弃 之 前 拥有 多 少 跳 数 ， 每 一 次 路 由 转发 该 
报 文 时 都 会 对 这 个 字段 进行 递减 操作 。 
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流量 类 别 流标 签 
8 位 20 位 
有 效 负 载 长 度 BORA 跳 数 限制 
16 位 8 位 8 位 


源 IP 地 址 
128 位 


目标 他 地 址 
128 位 


2-1 IPv6 报头 


VR IP thik (Source IP Address) 。 包 发 送 者 的 IPv6 地 址 。 
目标 IP 地址 (Destination IP Address) 。 报 文 预期 接收 者 的 IPv6 地 址 。 


2.2.1 IPv6 扩展 报头 


下 一 个 报头 (The Next Header) 字段 是 IPv6 提供 的 一 种 方式 ， 以 尽量 减少 
IPv6 报头 的 开销 ， 同 时 还 能 够 用 于 串联 其 他 因 某 些 目的 被 需要 的 报头 ， 如 图 2-2 
所 示 。 图 中 , 左 侧 的 主要 IPv6 报头 结构 表明 下 一 个 报头 (Next Header) 的 值 为 
0， 之 后 是 逐 跳 报头 ( Hop-by- Hop header) ， 接 着 是 验证 报头 (Authentication 
Header) ， 再 然后 是 TCP 报头 ， 最 后 是 传送 给 上 层 的 负载 数据 。 


Se XA eae 


2-2 IPv6 扩展 报头 


不 同 的 报头 类 型 具有 不 同 的 优先 级 顺序 ， 以 最 小 化 P 包 路 由 路 径 上 的 路 由 
器 在 深入 分 析 IPv6 报头 时 对 资源 的 要 求 。 在 IPv6 报 文 经 过 的 路 径 上 的 每 一 个 节 
点 ， 包 括 路 由 器 ， 需 要 检查 报 文 是 否 存在 逐 跳 选项 、 路 由 报头 和 shim6 报头 。 因 
此 所 需 的 IPv6 扩展 报头 顺序 见 表 2-1。 
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表 2-1 IPv6 扩展 报头 顺序 
顺 序 报头 类 型 下 一 个 头 代码 
1 基本 IPv6 报头 〈 上 面 描述 ) N/A 
2 逐 跳 选 项 一 一 必须 由 报 文 所 经 过 的 路 径 上 的 每 个 节点 检查 0 
. 目标 地 址 选项 一 一 参数 用 于 处 理 出 现在 基本 报头 目标 地 址 字 本 
段 第 一 个 目标 地 址 及 其 随后 路 由 报头 中 列 出 的 目标 地 址 
i 路 由 报头 一 一 最 初 定义 的 源 路 由 (0 型 路 由 报头 ) 已 经 被 弃 
用 ,1 型 并 没有 使 用 ，2 型 则 用 于 移动 
SHIM6 多 宿主 报头 一 用 于 在 多 宿主 环境 提供 连通 性 (连接 a 
到 多 个 ISP) 
6 分 段 报 头 一 一 关于 被 分 割 成 多 个 部 分 而 发 送 的 报 文 的 信息 44 
7 验证 报头 一 一 提供 完整 性 校 验 值 (Integrity Check Value, ICV) ši 
用 于 验证 报 文 的 完整 性 和 源头 
封装 安全 负荷 (Encapsulating Security Payload ，ESP) 一 一 提供 
8 了 一 个 混合 的 安全 服务 包括 数据 来 源 认 证 、 数 据 完 整 性 、 具 有 50 
序列 码 完整 性 的 防 重 放 和 有 限 的 机 密 性 (加密) 
9 移动 报头 一 一 移动 IPv 6 信息 135 
10 目标 地 址 选项 于 处 理 最 终 目标 地 址 的 参数 60 
7TCP 一 一 传输 控制 协议 6 
上 层 VDP 一 一 用 户 数据 报 协议 17 
ICM Pv 6 一 一 IPv 6 因特网 控制 报 文 协议 58 


新 的 扩展 报头 可 能 用 IETF RFC 过 程 规范 化 ， 尽 管 ETF 推荐 在 已 有 的 逐 跳 
报头 增加 新 的 逐 跳 扩展 选项 和 在 已 存在 的 目的 地 址 报头 中 添加 目的 地 址 选项 。 
这 会 降低 报 文 丢失 的 风险 ， 因 为 由 于 安全 策略 无 法 识别 新 定义 的 下 一 个 报头 值 。 


2.3 IPv6 寻 址 


IPv6 地 址 的 类 型 有 3 Pho ER IPv4 一 样 ， 这 些 地 址 识别 为 接口 而 不 是 节点 。 
所 以 ， 可 以 通过 任 一 接口 寻 址 一 个 拥有 两 个 接口 的 打印 机 。 打 印 机 可 以 根据 任 
意 一 个 接口 到 达 ， 但 是 打印 机 本 身 没 有 一 个 回环 地 址 2 。 当 然 ， 对 于 最 终 用 户 尝 
试 访问 一 个 节点 ，DNS 可 以 隐藏 这 个 细节 使 得 一 个 主机 名 可 以 映射 到 多 个 接口 


O “许多 路 由 器 和 服务 器 产品 通过 软件 回环 地 址 支持 “盒子 地 址 (box address) ”的 概念 ， 这 个 回环 地 


址 不 要 和 127.0.0.1 或 :: 1 


可 环 地 址 混淆 。 这 使 得 报 文 可 以 到 达 设 备 的 但 


E=, 
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地 址 。 

单 播 ， 单 个 接口 的 IP 地 址 。 这 类 似 一 个 IPv4 主机 地 址 的 常见 的 解释 ( 非 多 
播 / 非 广播 /32 位 IPv4 地 址 ) 。 

任 播 ， 一 组 接口 的 卫 地 址 ， 通 常 属于 不 同 的 节点 ， 其 中 的 任何 一 个 都 可 以 
是 接收 者 。 发 往 任 播 地 址 的 报 文 会 被 路 由 到 配置 有 任 播 地 址 节点 的 最 近 的 接口 
(根据 路 由 表 度 量 值 ) 。 它 的 意思 是 发 送 者 并 不 关心 报 文 会 被 哪 一 个 特定 的 主机 
或 者 接口 接收 ， 但 是 分 享 共 k 同 任 播 地 址 的 其 中 一 个 会 接收 这 个 报 文 。 任 播 地 址 
与 单 播 地 址 一 样 被 分 配 相同 的 地 址 空间 。 因 此 ， 不 能 直接 区 分 出 单 播 地 址 和 任 
播 地 址 。 任 播 地 址 常用 来 提供 最 近 的 路 由 到 目标 服务 ， 如 通过 使 用 一 个 共享 P 
地 址 的 DNS。 这 提供 了 简化 客户 端 配置 的 好 处 ， 使 得 可 以 总 是 使 用 相同 的 任 播 
IP 地 址 来 查询 一 个 DNS (不 管 你 的 客户 端 连接 的 网 络 在 哪里 ) 。 

多 播 ， 一 组 接口 的 了 P 地 址 ， 通常 属于 不 同 的 节点 ， 其 中 任意 一 个 都 可 以 作 
为 接收 者 。 这 一 点 很 像 IPv4 中 的 多 播 。 与 IPv4 不 同 的 是 ，IPv6 不 支持 广播 。 作 
为 替代 ， 应 用 程序 ， 如 DHCP, 在 IPv4 中 使 用 广播 而 在 IPv6 中 使 用 多 播 。 

一 个 设备 的 接口 可 能 有 多 个 不 同类 型 的 IP 地址 。IPv6 也 定义 了 一 个 本 地 链 
接地 址 范围 来 唯一 标识 接口 使 其 附属 于 一 个 特定 的 链接 ， 如 LAN。 新 建 的 范围 
域 可 以 被 用 来 管理 每 个 站 点 或 者 每 个 组 织 ， 稍 后 将 会 在 本 章 讨论 。 


2.3.1 地 址 符号 


回想 一 下 ，IPv4 地 址 是 在 点 分 十 进 制 格式 下 ， 分 成 4 个 8 位 段 ， ‘aes 
地 址 ， 每 一 个 都 被 转换 成 十 进 制 ， 然 后 用 “点 ”分 隔 。 如 果 觉 得 记 住 一 连 4 个 
数字 都 困难 ,那么 IPv6 会 更 加 难 。IPv6 地 址 不 以 点 分 十 进 制 进行 表达 ， 它 们 使 
用 冒号 分 隔 的 十 六 进 制 格式 。 从 位 的 角度 来 说 ，128 位 的 IPv6 地 址 分 为 8 个 16 
位 段 ， 每 个 段 转 换 成 十 六 进 制 ， 然 后 用 冒号 分 开 。 每 个 十 六 进 制 的 “数字 ” 代 
表 每 一 个 十 六 进 制 数 (0 ~f) 到 4 位 二 进 制 映射 。 每 一 个 十 六 进 制 数 对 应 于 二 
进 制 四 位 的 值 为 


0 =0000 4=0100 8 =1000 c =1100 
1 =0001 5 =0101 9 =1001 d=1101 
2 =0010 6 =0110 a=1010 e=1110 


3 =0011 7=0111 b=1011 f=1111 


将 128 位 的 IPv6 地 址 从 二 进 制 转换 十 六 进 制 后 ，IPv6 地 址 每 个 16 位 的 段 换 
算 成 4 位 的 十 六 进 制 数 并 用 冒号 分 隔 开 。 这 里 用 术语 nibble 代表 4 位 二 进 制 数 或 
者 1 位 十 六 进 制 数 ， 用 术语 sedectet 表示 16 位 二 进 制 数 或 者 4 位 十 六 进 制 数 。 
因此 ， 有 8 个 以 冒号 分 开 的 sedectet 值 ， 呈 现 出 的 IPv6 地 址 如 图 2-3 所 示 。 
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00100000 00000001 0000110110111000 01011111 01100010 10101011 01000001 RRA OO ...000 MRR 00001000 00000001 


20 01 0d O 8 5 f 62 ab 0 1 


2001 :0db8:5f62:ab41:0000:0000:0000:0801 


图 2-3 IPv6 地 址 〈 二 进 制 转换 为 十 六 进 制 ) 


并 不 像 处 理 以 点 分 隔 、0 ~ 255 的 4 个 十 进 制 组 的 IPv4 地 址 一 样 ，IPv6 地 址 
由 以 冒号 分 开 的 8 个 在 0000 ~ fi 的 sedectet 值 组 成 。 有 下 面 两 种 缩写 形式 可 以 
表示 IPv6 地 址 : 

第 一 种 ， 在 冒号 之 间 的 一 个 sedectet 中 出 现 前 导 零 时 ， 这 个 sedectet 可 以 被 简 
化 。 因 此 ， 图 2-3 的 地 址 可 以 被 简写 为 

2001 ; db8 ; 5f62 : ab41 : 0 : 0 : 0 : 801 

第 二 种 ， 是 一 种 缩写 形式 ， 使 用 双 冒 号 代表 一 个 或 者 多 个 零 sedectet 连续 

集 。 使 用 这 个 形式 的 缩写 ， 上 面 的 地 址 可 以 进一步 缩写 为 
2001 : db8 ; 5f62 : ab41 :: 801 

请 注意 ， 一 个 地 址 只 能 用 一 次 双 冒 号 表示 。 因 为 总 共有 8 个 sedectet 地 址 
段 ， 可 以 很 容易 地 计算 出 一 个 双 冒 号 表示 多 少 个 0。 但 是 ， 如 果 有 多 个 双 冒 号 就 
可 能 会 得 出 不 同 的 答案 。 

考虑 地 址 2001: db8: 0: 56fa: 0: 0: 0: p5。 可 以 用 下 面 任意 一 种 形式 的 
缩写 地 址 : 

2001 : db8 :: 56fa: 0 : 0 : 0 : b5 或 2001 ; db8 : 0 : 56fa :: b5 

在 第 一 种 情况 下 ， 可 以 很 容易 计算 出 双 冒 号 表示 一 个 sedectet (8 减 去 7) 。 在 
第 二 种 情况 下 也 可 以 很 容易 得 出 双 冒 号 表示 3 个 sedectet (8 减 去 5)。 如 果 将 此 地 
址 缩写 成 2001: db8:: 56fa:: b5， 就 不 能 明确 解码 ， 它 可 能 代表 下 面 任 一 地 址 : 

2001 : db8 : 0; 56fa : 0 : 0 : 0 : b5 
2001 : db8 : 0 : 0 : 56fa : 0 : 0 : b5 
2001 : db8 : 0 : 0 : 0 : 56fa; 0; b5 

因此 ， 要 求 一 个 IPv6 地 址 中 只 能 出 现 一 次 双 冒 号 。 根 据 RFC 5652 《推荐 的 一 
种 IPv6 地 址 文本 表示 》 (本 书 参 考 文献 [14] ) ， 正 确 的 缩写 是 缩写 最 长 的 连续 0 
段 或 有 相同 段 数 的 0 sedectet 时 缩减 第 一 段 ， 示 例 2001: db8: 0; 56fa:; b5 WIE 
确 的 缩写 形式 。 顺 便 说 一 句 ，RFC 5652 还 规定 使 用 小 写字 母 的 十 六 进 制 数 。 

你 可 能 会 注意 到 IPv6 地 址 后 绥 为 百 分 号 后 面 跟 一 些 数字 或 者 文本 ， 如 
fe80:: 9848:: e2fl; 6d42 a87 % 11 或 a87 fe80:: 9848;; e2fl; 6d42% ethO, 
这 个 百分比 符号 划 出 了 IPv6 地 址 范围 有 时 候 被 称 为 “scope ID” BK “zone”, 
scope ID 值 是 由 本 地 主机 的 操作 系统 通过 识别 地 址 的 网 络 拓扑 范围 来 定义 的 。 例 
如 ， 按 照 本 地 接口 、 本 地 连接 、 全 球 地 址 或 者 管理 要 求 来 定义 拓扑 范围 。 例 如 ， 
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前 文 描述 的 IPv6 地 址 范围 可 以 定义 一 个 本 地 链 路 地 址 范围 的 本 地 接口 。 拓 扑 区 
域 (zone) 的 格式 与 组 合 是 由 设备 的 操作 系统 来 定义 的 。 


2.3.2 地 址 结构 


IPv6 地 址 分 为 以 下 三 个 部 分 : 

(1) 全 局 路 由 前 绥 是 类 似 一 个 Pv 网 络 号 ， 并 用 于 通过 路 由 器 的 数据 报 转 
发 到 具有 对 应 的 网 络 前 级 的 路 由 器 。 例 如 ， 一 个 ISP 的 客户 可 能 会 被 分 配 一 个 / 
48 大 小 的 全 局 路 由 前 级 ， 所 有 通 往 这 个 客户 的 数据 报 将 会 包含 相应 的 全 局 路 由 
前 级 值 。 在 这 种 情况 下 ， 如 图 2-4 所 示 ，n =48。 当 表示 一 个 网 络 ， 全 局 路 由 前 
缀 在 斜 线 后 被 写 人 ， 紧 接着 的 是 网 络 的 大 小 ， 称 为 前 缀 的 长 度 。 假 设 IPv6 地 址 
为 2001: db8: 5f62: ab41:: 801, 存在 /48 全 局 路 由 前 级 ， 这 个 前 级 地 址 将 表 
示 为 2001: db8: 5f62:; /48。 


全 局 路 由 前 缀 接口 ID 
(n 位 ) (128-n-m 位 ) 


图 2-4 IPv6 地 址 结构 51 


请 注意 ， 在 IPv6 中 使 用 的 “网 络 斜 线 前 缀 长 度 ”CIDR 表示 法 与 IPv4 使 用 
的 类 似 。 与 IPv4 一 样 ， 前 绥 长 度 以 外 的 位 表示 为 零 值 的 网 络 地 址 ( 本 例 中 的 第 
49 ~128 位 ) ， 用 双 冒 号 终止 。 

(2) 子 网 ID 提供 了 一 种 方法 来 表示 组 织 内 的 特定 子 网 。 具 有 /48 的 ISP 客 
户 会 使 用 16 位 二 进 制 来 表示 子 网 ID ， 它 提供 了 2“、 共 计 65535 个 子 网 。 在 这 种 
情况 下 ， 如 图 2-4 所 示 , m=16, XIE] 128 -48 -16 =64 位 给 接口 ID T, 

(3) 接口 ID 表示 报 源 或 收 件 人 的 接口 地 址 。 正 如 之 后 将 会 讨论 的 ， 全 局 单 
播 地 址 到 目前 已 经 分 配 使 用 的 空间 需要 一 个 64 位 的 接口 ID 字段 9 。 

这 个 IPv6 地 址 结构 将 一 个 网 络 ID (由 全 局 路 由 前 级 、 子 网 ID 组 成 ) 从 接 
口 ID 中 分 离 出 来 。 该 结构 的 特性 可 以 使 一 个 设备 保留 相同 的 接口 ID 同时 ， 独 立 
地 连接 到 网 络 ， 有 效 地 根据 接口 ID 区 分 “你 是 谁 ”， 根 据 网 络 前 缀 分 辩 “ 你 在 
哪 "。 正 如 所 看 到 的 ， 本 公约 方便 了 地 址 的 自动 配置 ， 虽 然 不 是 没有 隐私 问题 。 
但 是 这 方面 的 讨论 现在 超前 了 一 点 ， 所 以 后 退 一 点 儿 看 一 看 目前 IPv6 地 址 空间 
分 配 情况 。 这 是 由 IANA 来 负责 管理 的 。 


2. 3.3 IPv6 地 址 分 配 
目前 被 IANA 分 配 的 IPv6 地 址 空间 见 表 2-2， 下 面 将 进一步 讨论 。 这 些 分 配 


O 除了 点 到 点 路 由 器 ， 各 链 路 可 以 在 每 端 用 1 位 或 者 用 一 个 127 位 的 网 络 前 级 1 。 
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的 IPv6 地 址 占 不 到 14% 的 地 址 空间 。 
表 2-2 目前 被 IANA 分 配 的 了 Pv6 地 址 空间 '™] 


IPv6 前 级 二 进 制 形 式 “| IPvy6 空间 的 相对 大 小 分 配 

Site sad we IETF 保留 一 一 未 指定 地 址 (::) 和 回路 
地 址 〈:: 1) 在 这 块 分 配 

2000:: /3 001 1/8 全 局 单 播 地 址 空间 

4000:: /3 010 1/8 IETF 保留 

6000:: /3 011 1/8 IETF 保留 

8000: ; /3 100 1/8 IETF 保留 

a000;; /3 101 1/8 IETF 保留 

c000:: /3 110 1/8 IETF 保留 

e000:: /4 1110 1/16 IETF 保留 

f000:: /5 11110 1/32 IETF 保留 

{800:: /6 1111 10 1/64 IETF 保留 

fc00:: /7 1111 110 1/128 唯一 的 本 地 单 播 地 址 

fe00:: /9 1111 11100 1/512 IETF 保留 

fe80:: /10 1111 1110 01 1/1024 本 地 链 路 单 播 地 址 

fec0:: /10 1111 1110 11 1/1024 IETF 保留 

£00: ; /8 1111 1111 1/256 多 播 地 址 


2.3.3.1 :: /3 一 一 预 留 空间 

前 级 [000], 的 地 址 空间 是 现在 ETF 预 留 的 地 址 空间 。 在 这 个 空间 的 地 址 
拥有 独特 意义 的 包括 未 指定 〈::) 地 址 和 回路 (:: 1) 地 址 。 本 书 参考 文献 
[15] RFC 4291 《IPv6 寻 址 体系 结构 规范 》， 要 求 所 有 单 播 IPv6 地 址 ， 除 了 那些 
在 预 留 地 址 空间 内 的 地 址 〈 即 除了 那些 以 :: 73 ( [000],) 开始 的 ) 必须 使 用 
64 位 接口 ID 字段 。 这 个 接口 ID 字段 必须 利用 修正 的 EUI-649 算 法 映射 接口 的 
第 二 层 或 硬件 地 址 到 一 个 接口 ID。 因 此， 在 地 址 :: /3 内 的 地 址 空间 可 以 具有 
任意 长 度 的 接口 ID 字段 ， 跟 IPv6 单 播 地 址 空间 其 他 那些 必须 用 64 位 接口 ID 字 
段 的 部 分 不 一 样 。 
2.3.3.2 2000:: /3 一 一 全 局 单 播 地 址 空间 

到 目前 为 止 ， 全 局 单 播 地 址 空间 分 配 了 2000:: 73, 代表 2” (大 约 4.25 x 
107) 个 卫 地 址 。 鉴 于 在 上 述 IPv6 寻 址 结构 (RFC 4291) 定义 的 64 位 接口 ID ， 


© EUI-64 指 的 是 由 IEEE 定义 的 64 位 扩展 唯一 标识 符 ， 本 章 后 面 涉及 修正 的 EUI - 64 算法 。 
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RFC 3587 定义 的 全 局 单 播 地 址 格式 并 如 图 2-5 所 示 。 
0 23 47 48 63 64 127 


0 0 1| 全 局 路 由 前 级 接口 ID 
(45 位 ) (64 位 ) 


习 2-5 全 局 单 播 地 址 格式 US 


前 三 位 是 [001], 表明 全 局 单 播 地 址 空间 。 接 下 来 的 45 位 是 全 局 路 由 前 级 ， 
紧 跟着 16 位 子 网 ID 和 64 位 接口 D。 目 前 的 指导 方针 要 求 互联 网 服务 提供 商 分 
配 /48 网 络 给 它们 的 客户 ， 从 而 将 全 局 路 由 前 绥 分 配给 用 户 。 然 后 ， 每 个 用 户 可 
以 定义 多 达 65535 个 唯一 子 网 ， 每 个 子 网 中 还 剩 下 16 位 子 网 ID 字段 。 
2. 3. 3.3 fc00:: /7 一 一 唯一 本 地 地 址 空间 

在 本 书 参 考 文献 [19] REC 4193 中 定义 的 唯一 本 地 地 址 (Unique Local 
Address, ULA) 空间 ， 旨 在 提供 通常 在 一 个 站 点 内 的 本 地 分 配 和 路 由 的 IP dh 
tik, REC 4193 指出 : “这 些 地 址 没有 被 期 待 成 为 全 局 因特网 路 由 地 址 。” 因 此 ， 
FEAR REC 1918 中 严格 定义 私有 的 IPv4 地 址 空间 一 样 ， 唯 一 本 地 地 址 空间 本 质 
上 是 私有 地 址 空间 ， 提 供 “ 本 地 ” 寻 址 同时 仍然 具有 较 高 概率 保证 全 局 唯一 。 
唯一 本 地 地 址 空间 的 格式 如 图 2-6 所 示 。 

0 678 47 48 63 64 127 
AME PMID 

(40 位 ) (16 位 ) 
2-6 ”唯一 本 地 地 址 格式 '”] 


前 7 位 , 第 0~6 位 是 [1111 110], =fec00:: /7， 它 标识 了 唯一 本 地 地 址 。 
第 8 位 ， 如 果 全 局 ID 是 本 地 分 配 的 ，“L” 位 设置 为 “1”。 而 “L” 位 设置 为 
“0” 标识 未 定义 ， 虽 然 互联 网 社区 (如 IETF) 讨论 通过 互联 网 注册 机 构 启 用 该 
设置 实现 全 局 唯一 的 本 地 地 址 。40 位 全 局 ID 字段 用 来 标识 全 局 唯一 前 级 ， 它 必 
须 通过 伪 随 机 算法 分 配 ， 而 不 是 顺序 的 。 在 任 一 情况 下 ， 生 成 的 /48 BAR 
织 的 ULA 地 址 空间 ， 从 而 可 以 使 子 网 分 配给 内 部 使 用 。 子 网 是 由 一 个 16 位 的 子 
网 ID 来 定义 ， 它 的 接口 ID 是 64 位 字段 。 

一 个 利用 伪 随 机 方法 来 得 出 一 个 全 球 独一无二 的 全 局 ID 就 如 RFC 4193 中 
推荐 的 计算 散 列 (也 称 哈 希 ，hash) 方法 9 如 下 : 

e 网 络 时 间 协 议 (Network Time Protocol, NTP) 服务 器 所 报告 的 64 位 NTP 
格式 的 当前 时 间 。 


加 回国 由 加 加 OL 


名“ 一 个 散 列 是 将 散 列 化 的 数据 和 一 个 随机 值 通过 运行 数学 运算 而 产生 的 。 在 这 种 情况 下 需要 一 个 特 
定 的 数学 算法 、 安 全 散 列 算法 1 或 SHA -1。 
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© 级 联 完 成 此 算法 的 主机 接口 的 EUI-64 接口 ID。 

然后 散 列 操作 的 结果 的 最 低 有 效 位 (最 右边 ) 40 位 发 布 为 全 局 ID, 
2.3.3.4 fe80:: / 10 一 一 链 路 本 地 地 址 空间 

链 路 本 地 地 址 仅 用 于 一 个 特定 的 链接 ， 比 如 一 个 以 太 网 链接 ; 链 路 本 地 目 
标 地 址 的 数据 报 不 会 被 路 由 。 也 就 是 说 ， 具 有 链 路 本 地 地 址 的 数据 报 无 法 到 达 
相应 链接 之 外 的 链接 。 这 些 地 址 用 于 地 址 自动 配置 和 邻居 发 现 ， 稍 后 将 会 展开 
讨论 。 链 路 本 地 地 址 格式 如 图 2-7 所 示 。 


0 9 10 63 64 127 


0 
1111111010 
(54 位 ) 


图 2-7 链 路 本 地 地 址 格式 "5 


链 路 本 地 前 缀 为 fe80:: /10， 紧 跟着 54 个 0 位 和 64 位 的 接口 ID。 
2.3.3.5 ft00: : /8 一 一 多 播 地 址 空间 

多 播 地 址 可 以 识别 在 不 同 节 点 上 一 组 接口 。 可 以 将 多 播 地 址 想象 成 是 一 个 
范围 内 的 广播 。 所 有 多 播 组 成 员 共 享 共同 的 组 ID， 因 此 所 有 成 员 会 接收 到 给 多 
播 组 发 送 的 相同 的 数据 报 。 一 个 接口 可 能 有 多 个 多 播 地 址 ; 也 就 是 说 ， 它 可 能 
属于 多 个 多 播 组 。 基 本 的 IPv6 多 播 地 址 格式 如 图 2-8 所 示 。 

0 78 1112 1516 127 


标志 “范围 
(4 位 ) (4 位 ) 


aafaa aaaf 
图 2-8 多 播 地 址 格式 5 


前 级 f00::: /8 标识 了 这 是 一 个 多 播 地 址 。 紧 接着 一 个 字段 是 一 个 4 位 的 
字段 称 为 “标志 ”。 多 播 地 址 的 格式 是 由 这 个 标志 字段 决定 的 。 范 围 字段 指示 了 
多 播 范围 的 广度 ， 是 否 每 个 节点 、 链 路 、 全 局 或 是 其 他 范围 值 ， 都 将 在 这 个 字 
段 定 义 。 幸 运 的 是 ， 标 志和 范围 字段 可 以 很 容易 通过 地 址 中 的 第 3 个 和 第 4 个 十 
六 进 制 数字 识别 出 ， 将 在 稍 后 总 结 。 

标志 标志 字段 是 由 4 位 组 成 ， 下 面 将 会 从 右 到 左 进 行 讨论 "” 。 


eT 位 表示 由 IANA 分 配 的 多 播 地 址 是 瞬时 状态 或 是 永久 状态 。T 位 是 如 下 
这 样 定 义 的 : 

oT=0 时 一 一 表示 多 播 地 址 是 由 IANA 分 配 的 永久 分 配 (众所周知 ) 多 播 
地 址 。 在 这 种 情况 下 ， 接 下 来 的 112 位 多 播 地 址 是 112 位 的 组 ID 字段 CW 
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图 2-9) o 
0 78 1112 1516 127 
范围 组 ID 


标志 
11111111 T0) (D (112 fiz) 


图 2-9 标志 T=0 时 的 多 播 地 址 


IANA 到 目前 为 止 已 经 分 配 了 大 量 的 组 ID2。 例 如 , 组 ID =1 意味 着 相关 范 
围 内 的 所 有 节点 (由 范围 字段 定义 )，ID = 2 为 指定 范围 内 的 所 有 路 由 器 。 范 围 
字段 如 下 定义 ， 永 和 久 分 配 的 多 播 地 址 例子 为 

.fnl:: 1= 链 路 上 所 有 节点 

fn2:: 2 = 链 路 上 所 有 路 由 器 

.ff05:: 1= 站 点 上 所 有 节点 

ff05;: 2 = 站 点 上 所 有 路 由 器 

- ff0e:: 2 = 互联 网 上 所 有 路 由 器 

coT =1 一 一 这 个 多 播 地 址 是 一 个 暂时 的 多 播 地 址 。 这 可 以 分 配给 一 些 特殊 的 
多 播 会 话 或 是 应 用 程序 。Ffl12:: 3: f: 10 是 其 中 一 个 例子 。 

e。P 了 位 用 于 表示 多 播 地 址 是 否 基于 单 播 网 络 地 址 前 级 。P 位 的 定义 如 下 : 

oP =0 一 一 这 个 多 播 地 址 不 是 根据 网 络 前 绥 来 分 配 的 。 当 P =0 时 ， 这 个 多 
播报 文 的 格式 跟 上 面 描述 的 一 样 〈 当 T=0) 也 有 112 位 组 ID 字段 。 

o P = 1 一 一 这 个 多 播 地 址 是 根据 单 播 子 网 地 址 的 网 络 前 绥 分 配 的 。 单 播 子 网 
地 址 拥有 这 类 多 播 地 址 的 分 配 权 。 这 使 得 与 单 播 地 址 空间 相关 的 多 播 地 址 的 分 
配 管 理 更 加 简单。 如 果 P=1， 那么 T 位 也 必须 为 1。P =1 时 的 多 播 地 址 格式 如 
图 2-10 所 示 。 


0 78 1112 1516 23 24 3132 


标志 WH AE MARKE 网 络 前 缀 


95 96 127 


pa 


(P=1) CH) (0s) (8 位 ) ” (8 位 ) (64 位 ) 


图 2-10 P=1 时 的 多 播 地 址 格式 1551 


4P=1, 范围 字段 紧 跟 着 8 个 0 位 (保留 ) ， 一 个 8 位 前 缀 长 度 字段 ， 一 个 
64 位 网 络 前 缀 字段 和 一 个 32 位 组 ID 字段 。 前 绥 长 度 字 段 代 表 对 应 单 播 网 络 地 址 的 
前 缀 长 度 。 网 络 前 缀 字段 包含 对 应 单 播 网 络 的 前 绥 ， 组 ID 则 是 相关 多 播 的 组 ID。 

例如 ， 如 果 2001: db8: b7:: /48 的 单 播 前 缀 被 分 配给 一 个 子 网 ， 那 么 对 
应 基于 单 播 的 多 播 地 址 将 会 为 ，ff3s: 0030; 2001: db8: b7:: g。 这 时 有 : 


”最 新 的 分 配 请 参考 http: //www. iana. org/assignments/ipv6- multicast- addresses, 
O 了 位 是 在 本 书 参考 文献 [20] RFC3306 中 定义 的 。 
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- 任 = 多 播 前 级 

.3= [0011],, 即 P=1, T=1 

* S= 有 效 的 范围 ， 将 会 在 下 一 节 讨论 

00 = 保留 位 

.30 = 十 六 进 制 表 示 的 前 级 长 度 = [0011 0000], = 十 进 制 数 48 ， 例 子 中 的 
前 缀 长 度 

- 2001: db8: b7: 0 =2001: 0db8: 00b7; 0000 为 在 64 位 的 网 络 前 级 字段 
的 48 位 网 络 前 级 

< g J32 位 的 组 ID 

当前 缀 长 度 字 段 = FF，s<2, JHA P=T=1 时 , 一 种 格式 的 特殊 情况 将 
会 发 生 。 在 这 种 情况 下 ， 并 不 是 由 单 播 网 络 地 址 组 成 网 络 前 级 字段， 这 个 字 
段 将 会 由 各 自 接口 的 接口 ID 组 成 。 接 口 ID 必须 经 过 重复 地 址 检测 ， 以 保证 其 
独一无二 ， 这 在 本 章 后 面 会 进行 讨论 。 在 这 种 特殊 情况 下 ， 范 围 字 段 必须 是 
0、1 或 2， 代表 着 本 地 接口 或 本 地 链 路 的 范围 。 链 路 范围 内 的 多 播 地 址 格式 
是 由 RFC 4489 ( 即 本 书 参考 文献 [21]) 规定 的 IPv6 地 址 结构 扩展 来 定 
义 的 。 

在 标志 字段 的 R 位 是 多 播 交 汇 点 ( Rendezous Point，RP)， 它 可 以 使 多 播 组 
潜在 的 订阅 者 优先 以 临时 方式 而 非 永久 加 入 该 组 。 如 果 R 位 设置 值 为 1， 那么 P 
位 和 了 位 也 必须 设置 成 1。 当 R =1， 多 播 地 址 是 基于 单 播 前 缀 的， 但 是 RP 接口 
ID 也 是 特定 的 。 这 种 当 R =1 时 的 多 播 地 址 格式 ， 大 致 等 同 于 R=0 和 P=1, 不 
同 之 处 在 于 保留 字段 被 分 成 一 个 4 位 的 保留 字段 交汇 点 接口 ID (Rendezous Point 
Interface ID, RID) 字段 ( 见 图 2-11)。 

0 78 1112 1516 1920 2324 31 32 95 96 127 
io RVI Rip MAKE pase at | 


4 0) Ph a 


(R=1) (4h) (4 位 ) 4 位 ) eA) (64 位 ) 


图 2-11 R=1 时 的 多 播 地 址 


e RP 的 IP 地 址 通过 串联 RID 字段 的 值 与 相应 的 网 络 地 址 前 级 确定 。 例 如 ， 
如 果 一 个 RP 在 [ 单 播 ] 网 络 时 是 2001: db8: b7:: 6， 那 么 关联 的 多 播 地 址 会 
为 ff7s: 0630: 2001: db8: b7: g。 其 中 ，s 为 一 个 有 效 范 围 内 定义 ，g 为 32 位 
的 组 ID。 

该 地 址 的 明确 细 分 如 下 : 

- ff = SHA 

- 7=[0111],, 即 R=1, P=1, T=1 

 s= 一 个 合法 的 范围 

0 = 预 留 位 
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- 6=RIID 字段 ， 要 被 追加 到 网 络 前 级 字段 之 后 

.30 = 十 六 进 制 表示 的 前 绎 长度 = [00110000], = 十 进 制 下 48， 实 例 中 的 
前 缀 长 度 

- 2001; db8: b7; 0=2001; 0db8: 00b7; 0000 W 64 位 网 络 前 级 字段 中 的 
48 位 网 络 前 绥 

> g Wy 32 位 的 组 ID 

”第 一 个 标志 位 是 保留 位 并 设 为 0。 
2.3.3.6 多 播 标志 总 结 
谁 想到 多 播 寻 址 位 这 么 复杂 ? 但 通常 情况 下 ， 复 杂 性 带 来 了 灵活 性 ! 总 的 
来 说 ， 按 照 目前 的 定义 ， 以 上 位 规定 的 最 终结 果 产 生 以 下 有 效 标志 字段 的 值 。 
在 标志 字段 之 后 紧 跟 着 8 个 “1” 位 ,这 8 个 紧 跟着 4 位 标志 字段 的 位 为 “有 效 
前 级”( 见 表 2-3)。 


标识 (二进制) 有 效 前 级 说 明 
0000 fto0:: /12 永久 分 配 4 比特 域 范围 内 的 112 位 组 ID 
0001 ffl0:: /12 暂时 分 配 4 比特 域 范围 内 的 112 位 组 ID 
0011 f30;; /12 临时 分 配 基于 多 播 地 址 的 单 播 前 绥 
0111 f70:: /12 临时 分 配 基于 多 播 地 址 的 拥有 接口 交汇 点 接口 ID 的 单 播 前 级 
其 他 一 未 定义 


范围 很 自然 的 ， 范围 字段 定义 了 多 播 地 址 的 范围 或 者 说 定义 了 多 播 地 址 
所 能 通信 到 的 地 方 。 这 被 多 播 路 径 上 的 路 由 器 用 来 判定 多 播 能 否 到 达 对 应 的 范 
围 。 请 注意 ， 范 围 以 外 的 其 他 本 地 接口 、 本 地 链 路 和 全 局 地 址 必须 在 路 由 器 定 
义 好 范围 ， 从 而 形成 通信 可 达 性 的 约束 。 
2.3.3.7 特殊 的 多 播 地址 

请 求 节 点 多 播 地 址 ”多 播 地 址 的 一 种 ， 每 个 节点 都 必须 支持 一 种 形式 的 请 
求 节点 多 播 地 址 。 这 个 地 址 是 用 来 检测 重复 的 地 址 ， 并 作为 邻居 发 现 协议 (4B 
居 请 求 信息 ) 的 一 部 分 ， 用 以 修复 给 定 主机 的 链 路 层 地 址 。 请 求 节点 多 播 地 址 
是 在 众所周知 的 前 缀 fn2:: 1:: 100: 0/104 (多 播 范 围 = 链 路 ) 后 面 加 上 请 求 
节点 接口 ID 的 低位 (最 右边 ) 24 位 组 成 。 

例如 ， 假 设 一 个 节点 希望 解决 设备 (接口 ) 的 链 路 层 地 址 ， 它 使 用 的 IP H 
址 为 2001: db8: 4e: 2a; 3001; fa81: 95d0: 2cdl。 使 用 低 24 位 、 十 六 进 制 的 
d02cdl ， 该 设备 会 将 请 求 发 送 到 fp2:: 1: ftd0: 2cdl ( 见 图 2-12) 。 
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图 2-12 ”请求 节点 多 播 地 址 的 推导 "1 


2.3.4 IPv6 的 因特网 控制 报 文 协议 


ICMP 是 IPv4 的 一 部 分 ， 它 用 作 回 送 网 络 错误 、 诊 断 、 资 源 状态 给 IP 节点 。 
ICMPv6 是 IPv6 相关 的 协议 ， 它 提供 了 相似 的 功能 ， 但 它 也 对 IPv6 中 的 核心 特 
性 ， 如 邻 节 点 发 现 、 移 动 Pv6 和 多 播 路 由 发 现 ， 提 供 了 便利 。 就 如 下 面 将 讨论 
的 ， 邻 节点 发 现 是 一 个 完整 的 IPv6 功能 ， 支 持 路 由 器 发 现 、 第 2 层 地 址 发 现 、 
地 址 自动 配置 、 重 复 地 址 检测 和 邻居 不 可 达 检 测 。 因 此 ，ICMPv6 是 IPv6 不 可 分 
市 的 组 成 部 分 ， 虽然 消息 被 编码 为 上 层 协议 ,但 是 ICMPv6 被 分 配给 一 个 IPv6 报 
头 “ 下 一 个 报头 ”， 其 代码 为 58 。ICMPv6 结构 格式 如 图 2-13 所 示 。 


0 位 7 8 15 16 31 


图 2-13 ICMPv6 结构 格式 


表 2-4 给 出 了 多 播 范 围 字 段 说 明 ， 表 2-5 给 出 了 ICMPv6 类 型 和 代码 
值 31。 类 型 值 1 ~4 代表 错误 信息 ，128 ~ 255 是 用 作 表 示人 信息 和 诊断 信息 
( 见 表 2-5)。 


表 2-4 多 播 范 围 字 段 说 明 


范围 字段 
范 fl fi 述 
二 进 制 十 六 进 制 
0000 0 保留 保留 
0001 1 本 地 接口 节点 上 只 用 于 回环 传输 的 接口 
0010 2 本 地 连接 只 有 在 多 播报 文 传输 时 连接 
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( 续 ) 
范围 字段 
二 进 制 十 六 进 制 ie “= 
0011 3 保留 保留 的 
最 小 范围 的 管理 配置 。 这 不 是 基于 物理 

a i 丰 地 管理 | 连接 或 其 他 多 播 相关 配置 

0101 5 本 地 站 点 限于 由 管理 者 定义 的 站 点 
0100、 0111 6.7 未 分 配 N/A 

ibò 3 hAg F aa 
1001 ~ 1101 9~D 未 分 配 N/A 

1110 E 全 局 范围 无 限制 

1111 F FA 保留 的 


表 2-5 ICMPv6 类 型 和 代码 值 


类 型 Ro 码 
值 ae X 值 Z A 
0 保留 的 
0 没有 到 目标 地 址 的 路 由 
1 管理 策略 禁止 与 目标 地 址 通信 
2 超出 源 地 址 的 范围 
3 地 址 不 可 达 
1 目标 地 址 不 可 达 端口 不 可 达 
5 源 地 址 失败 的 入 口 / 出 口 策略 
6 拒绝 路 由 到 目的 地 址 
7 源 路 由 头 错误 
2 报 过 大 0 
0 传输 中 超过 跳 数 限制 
mae 分 片 重组 超时 
0 遇 到 了 错误 的 报头 字段 
4 参数 问题 1 遇 到 了 不 能 识别 的 下 一 个 报头 类 型 
2 遇 到 了 不 能 识别 的 IPv6 选项 
5 ~99 未 分 配 
100, 101 私有 实验 
102 ~ 126 未 分 配 
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( 续 ) 
类 型 代 码 
值 ae AX 值 含 A 
127 保留 给 ICMPv6 错误 消息 扩展 
128 回 送 请 求 0 
129 回 送 应 答 0 
130 多 播 监听 查询 0 
131 多 播 监听 报告 0 
132 多 播 监 听 完 成 0 
133 路 由 器 请 求 0 
134 路 由 器 通告 0 
135 邻 节 点 请 求 0 
136 邻 节 点 通告 0 
137 重 定向 信息 0 
0 路 由 器 重 编号 指令 
138 路 由 器 重 编号 1 路 由 器 重 编号 结果 
255 序列 编号 重 置 
0 数据 字段 包含 IPv6 地 址 
数据 字段 包含 一 个 名 称 或 者 是 空 的 
139 ICMP 节点 信息 查询 (No-Op) 
2 数据 字段 包含 IPv4 地 址 
成 功 回复 一 数据 字段 可 能 为 空 ， 
也 可 能 不 为 空 
140 ICMP 节点 信息 响应 1 响应 者 拒绝 回复 一 一 数据 字段 为 空 
‘ 查询 的 类 型 对 于 响应 者 是 未 知 
的 一 一 数据 字段 为 空 
141 逆向 邻 节点 发 现 请 求 消息 0 
142 逆向 邻 节点 发 现 通告 消息 0 
143 第 2 版 多 播 监听 报告 0 
144 本 地 代理 地 址 发 现 请 求 消息 0 
145 本 地 代理 地 址 发 现 应答 消 息 0 
146 移动 前 级 请 求 0 
147 移动 前 级 通告 0 
148 认证 路 径 请 求 消息 
149 认证 路 径 通 告 消 息 
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( 续 ) 
类 型 RO m 
值 含 A 值 ae A 
150 实验 移动 协议 所 用 的 ICMP 消息 
151 多 播 路 由 器 通告 
152 多 播 路 由 器 请 求 
153 多 播 路 由 器 中 止 
0, 1 保留 的 
154 FMIpv6 消息 (快速 移动 IPv6 切换 ) 人 
3 代理 路 由 器 通告 (PrRtAdv) 
4,5 弃 用 和 不 可 用 
io RPL 控制 消息 〈 暂 时 分 配给 “ 低 功 
率 和 损耗 网 络 的 路 由 协议 ) 
156 ~ 199 未 分 配 
200 ~ 201 私有 实验 
255 为 ICMPv6 通知 消息 扩展 保留 


下 面 还 要 仔细 介绍 IPv6 某 些 与 ICMPv6 相关 的 特性 。 
2.3.5 IPv6 Ping 命令 


就 像 在 IPv4 中 用 的 “ping” 命 令 一 样 ，IPv6 支持 类 似 的 功能 。 相 对 于 
“ping”， 通 常 在 命令 行 中 运行 “ping6”。 此 功能 利用 ICMPv6 类 型 128 作为 ping6 
命令 的 接口 ， 或 称 为 “ 回 送 请 求 "， 而 ICMPv6 类 型 129 则 作为 “ 回 送 应 答 ” 


本 
=a 


2.3.6 多 播 侦 听 发 现 


多 播 侦 听 发 现 (Multicast Listener Discovery, MLD) 功能 使 得 路 由 器 可 以 找 
到 直 连 链 路 上 存在 的 多 播 侦 听 器 ， 也 就 是 被 配置 了 要 侦 听 多 播 地 址 的 节点 及 相 
应 的 多 播 地 址 。 多 播 主机 和 地 址 的 确定 ， 可 以 使 路 由 器 去 路 由 和 发 送 相应 的 多 
播 IPv6 数据 报 。 当 在 给 定 链 路 上 发 送 MLD 查询 时 ， 路 由 器 使 用 本 地 链 路 ITPv6 
地 址 作为 其 源 IPv6 地 址 。MLD 的 第 1 个 版 本 ， 即 MLDv1， 是 RFC 2710 ( 即 本 书 
参考 文献 [24]) 定义 的 。 第 2 个 版 本 ，MLDv255 与 MLDvl 是 可 兼容 的 ， 它 增 
加 了 源 过 滤器 。 也 就 是 说 ， 它 允许 一 个 多 播 侦 听 器 只 接收 从 特定 的 源 地 址 中 发 
出 的 多 播 数据 报 。 下 面 给 出 4 个 MLD 信息 类 型 定义 ， 每 一 个 都 有 对 应 的 ICMPv6 
类 型 值 ; 


二 一 
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e 多 播 侦 听 查询 ( 类 型 值 为 130) 一 一 允许 路 由 器 去 查找 侦 听 器 。 

o 一 般 查 询 一 一 用 于 路 由 器 去 了 解 哪 一 个 多 播 地 址 拥有 侦 听 器 。 

o 特定 多 播 地 址 查询 一 一 用 于 确定 一 个 多 播 地 址 是 否 拥有 侦 听 器 。 

o 多 播 地 址 和 特定 源 查 询 一 一 只 在 MLDv2 可 用 ,确定 一 个 给 定 源 的 特定 多 
播 地 址 是 否 拥有 侦 听 器 。 

e 多 播 侦 听 报 告 (类 型 值 为 131 ) 可 以 使 一 个 多 播 侦 听 器 回复 路 由 查 
询 ， 以 表明 它 希望 接收 这 样 寻 址 的 多 播 地 址 数据 报 。 

e 多 播 侦 听 完 成 (类 型 值 为 132) 一 一 人 允许 一 个 多 播 侦 听 器 去 声明 它 已 经 完 
成 对 给 定 多 播 地 址 传输 的 侦 听 。 这 个 信息 会 被 发 送 到 链 路 范围 内 的 所 有 路 由 器 
中 的 多 播 地 址 ，ff02.; :2。 

e MLDv2 多 播 侦 听 报告 (类 型 值 为 143) 一 一 由 MLDv2 主机 通知 连接 到 链 
路 上 的 路 由 器 它 的 多 播 侦 听 状态 ， 如 它 是 否 正在 侦 听 某 个 地 址 。 


2.3.7 多 播 路 由 发 现 


多 播 路 由 发 现 (Multicast Router Discovery, MRD) 过 程 被 定义 来 识别 多 播 路 
由 中 涉及 的 路 由 器 ， 以 及 允许 交换 机 确定 哪些 交换 端口 应 该 在 多 播 通信 中 被 桥 
接 。 因 此 ，MRD 报 文 目的 是 将 本 地 链 路 的 跳 数 限制 为 “1”。MRD 为 IPv6 提供 
了 三 种 ICMPv6 消息 类 型 . 

o 多 播 路 由 器 通告 (ICMPv6 类 型 值 为 151) 一 一 路 由 器 周期 性 通告 或 回复 
这 个 信息 给 所 有 的 侦 听 者 多 播 地 址 (102:: 6a) ， 通 告 其 参与 多 播 转 发 。 

o 多 播 路 由 器 请 求 (ICMPv6 类 型 值 为 152 ) 可 以 使 节点 去 请 求 多 播 路 
由 融 发 送 多 播 路 由 器 通告 。 

o 多 播 路 由 带 终 止 (ICMPv6 类 型 值 为 153) 一 一 由 路 由 带 发 送 来 表明 不 再 
参与 多 播 信息 转发 了 。 

3.8 邻 节 点 发 现 协 议 
邻 节点 发 现 协议 (Neighbor Discovery Protocol, NDP) 在 IPv6 中 提供 了 相当 
重要 的 网 络 操作 功能 。 

© NDP 允许 一 个 节点 去 发 现 链 路 上 的 路 由 器 和 链 路 上 的 IPv6 前 缀 配置 。 

e NDP 提供 了 重 定向 功能 去 指示 一 个 节点 到 一 个 更 好 的 首 跳 路 由 需 (或 本 
地 连接 的 主机 ) 。 

e 无 状态 地 址 自动 配置 (Stateless Address Autoconfiguration, SLAAC) 利用 
NDP 给 IPv6 主机 地 址 进行 自动 匹配 。 

e 重复 地 址 检测 (Duplicate Address Detection, DAD) 允许 节点 判断 自己 准 
备 使 用 的 地 址 是 否 已 被 子 网 的 其 他 节点 使 用 。 


2. 
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e 一 个 使 用 NDP 的 节点 进行 地 址 解析 ， 找 出 子 网 的 其 他 IPv6 节点 ， 并 确定 


它们 的 链 路 层 地 址 。 
© NDP 支持 节点 不 可 达 检 测 ， 适 用 于 邻居 节点 的 不 可 达 检 测 ， 也 就 是 在 同 
一 链 路 上 的 不 可 达 节 点 。 


路 由 需 发 现 使 得 IPv6 节点 能 够 自动 识别 子 网 上 的 路 由 器 ， 使 其 不 需要 手动 
配置 设备 的 IP 配置 内 的 默认 网 关 。 路 由 器 发 现 使 得 一 个 设备 可 以 识别 分 配给 链 
路 的 网 络 前 缀 和 对 应 的 前 级 长 度 ， 当 然 也 包括 其 他 参数 ， 如 可 用 的 地 址 分 配 和 
域名 服务 。 对 于 地 址 自动 配置 ， 这 个 信息 是 必 不 可 少 的 。 

路 由 需 发 现 过 程 需 要 每 个 路 由 器 周期 性 地 发 送 通告 给 每 个 配置 子 网 以 显示 ， 
它 的 下地 址 ， 它 能 够 提供 的 默认 网 关 功 能 ， 它 的 链 路 层 地 址 ， 链 路 上 的 网 络 前 
级 (包括 对 应 的 前 级 长 度 和 可 用 地 址 生命 周期 )， 以 及 其 他 的 配置 参数 。 

路 由 咒 通 告 还 能 指出 DHCPv6 服务 器 是 否 可 用 于 地 址 分 配 或 其 他 配置 。 路 由 
器 通告 中 的 M 位 (管理 地 址 配置 标志 ) 表明 DHCPv6 服务 是 可 用 于 地 址 和 配置 
的 设置 的 。0 位 (其 他 配置 标志 ) 则 表明 通过 DHCPv6 获取 IP 地 址 以 外 的 其 他 
配置 参数 ， 如 可 能 会 包含 链 路 上 的 设备 可 以 查询 哪些 NTP 服务 器 。 关 于 M 和 0 
位 的 解释 见 表 2-6。 


表 2-6 路 由 器 通告 中 的 M 和 OO 位 


bea 0 位 =0 0 位 =1 
DHCPv6 服务 仅 可 用 作 配 置信 息 ， 不 包 
M =0 没有 DHCPv6 
没有 服务 可 用 含 地 十 分 本 
M=1 DHCPv6 服务 可 用 于 地 址 分 配 和 配置 信息 DHCPv6 服务 可 用 于 地 址 分 配 和 配置 信息 


节点 也 可 以 通过 使 用 路 由 器 请 求 信 息 来 请 求 路 由 器 通告 ， 只 要 发 给 本 地 链 
路 路 由 器 多 播 地 址 (ff02:: 2) 即 可 。ICMPv6 每 个 邻 节 点 发 现 信 息 的 类 型 代码 
总 结 如 下 : 

e 路 由 器 请 求 (ICMPv6 类 型 值 为 133) 一 一 允许 一 个 主机 立即 请 求 路 由 器 
产生 路 由 通告 。 

o 路 由 需 通 告 (ICMPv6 类 型 值 为 134) 一 一 路 由 需 用 这 个 信息 类 型 去 定期 
地 通告 它们 的 存在 和 可 用 的 前 级 信息 或 是 响应 路 由 器 请 求 信 息 。 

e 邻 节点 请 求 (ICMPv6 类 型 值 为 135) 可 以 使 一 个 主机 去 确定 一 个 链 
路 上 的 邻 节点 的 链 路 层 地 址 ， 并 且 进 行 重复 地 址 检测 。 

e 邻 节 点 通告 (ICMPv6 类 型 值 为 136) 一 一 由 主机 发 送 用 于 响应 邻 节点 请 
求 或 链 路 层 地 址 变化 。 

e 重 定向 (ICMPv6 类 型 值 为 137) 一 一 由 路 由 器 发 送 去 通知 链 路 主机 一 个 
给 定 目标 地 址 的 更 好 的 首 跳 方 式 。 更 好 的 首 跳 ， 可 能 是 另 一 个 路 由 器 或 者 是 另 
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一 台 链 路 上 的 主机 ， 如 它 的 地 址 有 同样 的 前 级 没有 在 链 路 上 通告 。 
2.3.9 安全 邻 节 点 发 现 


安全 邻 节 点 发 现 (Secure Neighbor Discovery, SEND) 协议 在 邻 节点 发 现 信 
息 中 添加 了 数字 签名 ， 以 此 减少 算 改 响应 的 风险 ， 特 别 是 在 Ad Hoc 网 络 上 。 使 
H SEND 的 主机 必须 配置 信任 锚 和 一 对 公 钥 私 钥 ， 这 可 以 使 主机 保证 是 它 网 络 上 
的 路 由 器 。 节 点 使 用 SEND 将 加 密生 成 地 址 (Cryptographically Generated 
Address, CGA) 附加 为 NDP 消息 中 的 选项 。CGA 是 由 主机 的 公 钥 和 私 钥 推导 而 
出 的 。 一 个 64 位 散 列 值 的 公 钥 (还 有 一 些 辅助 的 参数 ) 和 一 个 64 位 的 子 网 前 
缀 被 用 于 生成 CGA。 那 对 应 的 私 钥 也 可 以 被 用 作 NDP 消息 的 签名 ， 并 且 对 应 
的 数字 签名 已 经 在 RSA 签名 NDP 消息 中 被 添加 。 虽 然 攻击 者 可 以 用 自己 推导 
的 一 对 公 钥 、 私 钥 来 生成 一 个 SEND 信息， 但 是 它 不 能 模拟 自己 是 子 网 中 的 某 
个 节点 。 
通过 路 由 器 证 书 上 的 公共 密 钥 与 主机 上 配置 的 公共 密 钥 对 比 ， 路 由 器 的 身 
份 被 进一步 验证 (信任 锚 )。 以 下 两 个 额外 的 ICMPv6 消息 类 型 就 是 为 此 设 定 的 : 

© 认证 路 径 请 求 (ICMPv6 类 型 值 为 148) 一 一 主机 发 送 这 条 消息 给 路 由 ， 
请 求 获 得 主机 配置 的 信任 锚 中 的 认证 路 径 。 

o 认证 路 径 通 告 (ICMPv6 类 型 值 为 149) 一 一 路 由 器 发 送 这 条 消息 作为 认证 
路 径 请 求 的 响应 ， 提 供 路 由 器 的 认证 和 /或 DNS 的 完全 合格 域名 (Full Qualified 
Domain Name, FQDN) 或 者 X. 501 名 形式 的 信任 锚 。 


2.3.10 逆向 邻 节点 发 现 


逆向 邻 节 点 发 现 (Inverse Neighbor Discovery, IND) 定义 了 解决 IPv6 地 址 与 
一 个 已 知 链 路 层 地 址 关联 的 过 程 。 与 “逆向 地 址 解析 协议 (Address Resolution 
Protocol，ARP) ”的 概念 相似 ，IND 人 允许 第 二 层 网 络 解析 第 三 层 信 息 ， 如 帧 中 继 
网 络 。IND 也 是 通过 ICMPv6 实现 的 : 

© IND 请 求 (ICMPv6 类 型 值 为 141 ) 一 一 请 求 提 供 的 目标 链 路 层 地 址 所 对 
应 的 IPv6 地 址 。 

e IND 通告 (ICMPv6 类 型 值 为 142 ) 
地 址 确定 的 一 个 或 多 个 IPv6 地 址 。 


2.311 路 由 器 重 编号 


路 由 器 重 编号 概念 的 提出 ， 旨 在 使 重 编号 网 络 像 单 独 的 主机 地 址 自动 配置 
一 样 简 单 和 自动 地 进行 。 路 由 重 编号 在 RFC 2894 ( 即 本 书 参 考 文献 [26]) 中 
进行 了 定义 ， 它 使 用 了 ICMPv6 消息 (ICMPv6 类 型 值 为 138) 的 “前 级 控制 操 


响应 IND 请 求 ， 返 回 目标 链 路 层 
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作 ” 去 通知 一 个 路 由 器 〈 当 以 多 播 方式 发 送 时 ， 可 以 是 多 个 路 由 器 ) 去 增加 
IPv6 前 组 或 者 删除 改变 一 个 已 被 配置 的 前 缀 。 前 组 信息 包括 前 缀 地 址 、 长 度 ， 
以 及 与 地 址 相关 的 生命 周期 值 和 标志 。 鉴 于 远程 网 络 重 编号 的 关键 性 ， 路 由 吕 
要 求 采 用 安全 策略 来 进行 路 由 器 重 编号 信息 ， 去 证 明 发 送 者 是 经 过 认证 的 , 来 
检查 信息 的 完整 性 。 消 息 队 列 编号 也 用 于 防止 重复 攻击 。 


2.3.12 节点 信息 查询 


节点 信息 查询 消息 允许 从 IPv6 主机 中 请 求 主机 名 、IPv6 和 IPv4 地 址 信息 。 
如 果 你 觉得 这 听 起 来 跟 DNS 提供 的 服务 有 点 像 ， 那 么 你 对 了 。 人 然而， 根据 RFC 
4620 ( 即 本 书 参 考 文献 [27] ) ， 这 种 模式 的 解决 方案 是 “目前 仅 限 于 诊断 工 
具 、 调 试 工具 和 网 络 管理 ”的 。 与 查询 DNS 消息 不 同 的 是 ,查询 是 指 被 发 送 到 
节点 的 信息 查询 地 址 。 

节点 信息 查询 ， 是 使 用 ICMPv6 发 送 并 被 赋予 一 个 正常 的 IPv6 目标 地 址 ， 或 
是 使 用 节点 信息 查询 多 播 地 址 。 用 这 种 链 路 范围 多 播 地 址 格式 使 得 一 个 IPv6 地 
址 只 根据 接收 者 的 主机 名 组 成 ; 如 果 IPv6 地 址 已 经 被 知道 并 且 主 机 名 信息 被 请 
求 ， 那 么 IPv6 地 址 可 能 会 被 用 于 目标 地 址 。 当 IP 地 址 信息 被 一 个 已 知 主机 名 请 
求 时 ， 对 主机 名 做 128 位 MD-5 算法 散 列 运算 ,结果 的 头 24 位 被 加 到 tn2:: 2; 
f0: 0/104 的 前 级 。 每 个 节点 接收 到 给 这 个 节点 信息 查询 地 址 的 消息 ， 并 将 其 
地 址 的 最 后 24 位 与 自己 主机 名 散 列 值 的 头 24 位 比较 ; 如 果 匹 配 ， 那 么 接收 者 会 
回复 请 求 信息 。 

节点 信息 查询 消息 如 下 : 

e 节点 信息 查询 (ICMPv6 类 型 值 为 139) 一 一 允许 一 个 节点 提供 IPv6 地 址 、 
IPv4 地 址 或 主机 名 ， 来 查询 关于 男 一 个 节点 的 信息 。 

e 节点 信息 响应 (ICMPv6 类 型 值 为 140) 一 一 允许 一 个 节点 响应 请 求 信 息 
或 拒绝 请 求 ( 见 图 2-14) 


1100001001101110110110011111110 TRS 


11111111 00000010B 00000010 11111111 110000100110111011011001 
f f 0 2 ox 0 2 t -f c 2 6 e d 9 


Al2-14 请 求 节点 信息 查询 地 址 
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2.4 IPv6 地 址 自动 配置 


IPv6 宣扬 的 主要 好 处 之 一 ， 是 其 使 设备 能 够 自动 配置 它们 自己 的 IPv6 地 址 ， 
这 些 地 址 是 独一无二 且 与 它 现在 正在 相连 的 子 网 相关 2。 这 种 行为 是 受 在 本 书 
NDP 部 分 讨论 的 路 由 需 通 告 管 理 位 (M) 和 其 他 位 (0) 来 进行 管理 的 。 现 在 
有 三 种 基本 形式 的 IPv6 地 址 自动 配置 ; 

无 状态 。 这 个 形式 是 “无 状态 ”的 ， 因 为 它 是 不 依赖 状态 或 外 部 分 配 机 制 
的 ， 如 IPv6 动态 主机 配置 协议 (DHCPv6 ) 。 设 备 试图 在 免除 外 界 和 用 户 的 干扰 
下 去 配置 它 自己 的 IPv6 地 址 。 

有 状态 。 有 状态 的 形式 只 依赖 一 个 外 部 地 址 分 配 机 制 ， 如 DHCPv6。 
DHCPv6 服务 器 分 配 128 位 IPv6 地 址 的 方式 类 似 DHCP 对 IPv4 的 操作 。 

有 状态 与 无 状态 组 合 。 这 一 过 程 包括 无 状态 地 址 自动 配置 与 有 状态 配置 涉 
及 的 附加 卫 参 数 的 组 合 。 这 通常 需要 先 使 用 无 状态 方法 ， 然 后 利用 DHCPv6 获 
取 额 外 的 参数 或 选项 ， 如 网 络 时 间 协 议 服务 器 去 查询 在 给 定 网 络 上 的 时 间 。 

在 最 基本 的 层面 ，IPv6 地 址 的 无 状态 自动 配置 包括 串联 设备 连接 到 网 络 的 
地 址 (你 在 哪里 ) 和 设备 的 接口 D (你 是 谁 ) 。 那 么 ， 首 先 考 虑 设备 如 何 确定 
连接 到 的 是 哪 一 个 网 络 地 址 。 


2.4.1 改进 的 EUI-64 接口 标识 符 


一 旦 一 个 节点 识别 它 所 连接 的 子 网 ， 它 可 能 通过 自己 的 接口 D 来 完成 地 址 
自动 配置 。 根 据 IPv6 寻 址 体系 结构 规定 ， 所 有 单 播 IPv6 地 址 ， 除 了 以 二 进 制 
[000], 开头 的 ， 必 须根 据 64 位 接口 ID 由 改进 的 EUI-64 算法 推导 生成 。“ 未 改 
进 的 ”EUI- 64 算法 要 求 弟 联 24 位 由 IEEE 发 布 给 每 个 网 络 接口 的 硬件 制造 商 的 
组 织 唯一 标识 符 (Organizational Unique Identifier, OUI) (如 最 初 的 24 位 以 太 网 
地 址 ) 和 40 位 扩展 标识 符 。 对 于 48 位 的 以 太 网 地 址 来 说 ， 紧 跟 在 以 太 网 地 址 
中 公司 标识 符 部 分 ( 头 24 位 ) 的 是 16 位 的 EUI 标签 ， 它 被 定义 为 十 六 进 制 的 
fffe ， 接 着 是 24 位 的 扩展 标识 符 ， 这 是 以 太 网 地 址 余下 的 24 位 。 

EUI-64 算法 的 修改 要 求 创建 一 个 改进 的 EUI-64 标识 符 ， 它 要 求 倒置 公司 标 
识 符 字 段 中 的 “u” 位 (全 局 /本 地 位 )。“u” 位 是 公司 标识 符 字段 中 第 7 高 位 。 
在 以 太 网 MAC 地 址 中 ， 当 u=1，MAC 地 址 是 本 地 管理 的 地 址 ， 也 就 是 由 网 络 
管理 员 分 配 的 地 址 ; 当 u =0，MAC 地 址 就 是 一 个 统一 管理 的 地 址 ， 也 就 是 由 


OQ 注意 一 些 IPv4 的 协议 栈 ， 如 Microsoft Windows 2000 和 XP, FA IPv4 的 本 地 链 路 地 址 空间 
169. 254. 0. 0/16 完成 地 址 的 自动 配置 。 
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NIC 制造 商 从 IEEE 中 分 配 的 。 倒 置 “u” 位 的 目的 :5 是 使 它 更 容易 让 网 络 管理 
员 手 动 配置 接口 ID， 使 其 增 量 计数 ， 如 用 :: 1、:: 2、:: 3， 等 来 代替 :: 200: 
0: 0: 1、:: 200: 0: 0: 2、:: 200: 0: 0: 3 等 。 这 些 地 址 是 被 要 求 用 来 表明 该 
地 址 是 本 地 管理 的 (u =1)。 因 此 ， 该 算法 对 于 一 个 48 位 的 MAC 地 址 的 处 理 是 
倒置 “u” 位， 并 且 在 公司 标识 符 和 接口 标识 符 之 间 插 入 十 六 进 制 数 的 fe。 这 
一 点 在 下 面 的 例子 中 说 明 ， 使 用 MAC 地 址 AC-62-E8-49-5F-62， 由 此 产生 的 接 
O ID 是 ae62 : e8ff: fe49: 5162 ( 见 图 2-15)。 


101011000110001011101000 010010010101111101100010| 


101011100110001011101000010010010101111101100010 


LOLO1110 0110001011101000 1111111111111110 01001001 01011111 01100010 


图 2-15 修改 EUL64 接口 ID fe 


对 于 非 以 太 网 MAC 地 址 ， 该 算法 要 求 是 的 链 路 层 地 址 作为 接口 ID ， 从 左 开 
始 用 0 填充 。 对 于 没有 链 路 层 可 用 的 情况 ， 如 在 一 个 拨号 链 路 、 一 个 唯一 标识 
符 使 用 另 一 种 接口 地 址 的 、 一 个 序列 号 或 者 其 他 设备 独 有 的 标识 符 ， 也 是 推 
荐 的 。 

然而 改进 的 EUI- 64 算法 简化 了 自动 配置 的 过 程 ， 它 也 创建 一 个 静态 的 具有 
“跟踪 ”设备 的 能 力 的 接口 D。 它 可 以 简单 地 识别 一 个 已 知 的 MAC 地 址 的 设备 。 
RFC 4741 ( 即 本 书 参 考 文献 [29]) 定义 了 如 何 进行 私有 扩展 来 进行 随机 接口 
ID 的 推导 和 变换 来 解决 相关 问题 。 

接口 ID 可 能 不 是 唯一 的 ， 特 别 是 并 非 由 唯一 的 48 位 MAC 地 址 推导 出 的 接 
口 ID 。 因 此 设备 在 确认 使 用 新 地 址 前 ， 必 须 执 行 DAD。 完 成 DAD 的 过 程 之 前 ， 
设备 地 址 会 被 认为 是 暂时 的 。 


2.4.2 重复 地 址 检测 


DAD 使 用 NDP， 它 需要 设备 发 送 一 个 IPv6 邻 节 点 请 求 数据 报 去 它 刚 刚 推导 
出 的 IPv6 地 址 (或 者 从 DHCPv6 获得 的 ) 来 确认 此 IP 地 址 是 已 经 被 占用 。 在 短 
暂 的 延迟 后 ， 设 备 也 发 送 一 个 邻 节点 请 求 数 据 报到 与 请 求 地 址 相对 应 的 多 播 
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地 址 。 

如 果 另 一 个 设备 已 经 使 用 了 此 P 地 址 ， 它 会 响应 一 个 邻 节 点 通告 数据 报 ， 
其 自动 配置 过 程 会 停止 。 也 就 是 说 ， 需 要 手动 介入 ， 使 用 可 选 的 接口 ID 对 设备 
进行 配置 。 如 果 邻 节点 通告 数据 报 没有 被 接收 ， 那 么 此 设备 可 以 假设 这 个 地 址 
是 唯一 的 ， 并 把 它 配置 到 相应 的 接口 上 。 参 与 邻 节 点 请 求 和 通告 的 过 程 ， 不 仅 
对 地 址 自动 配置 有 用 ， 也 对 静态 配置 的 地 址 和 从 DHCPv6 获取 的 地 址 有 用 。 
有 效 的 IPv6 地 址 是 有 生命 周期 的 。 在 一 些 情 况 下 ， 生 命 周 期 是 无 穷 的 ， 但 
是 地 址 生命 周期 的 概念 适用 于 DHCPv6 租赁 地 址 和 自动 配置 地 址 。 这 在 简化 网 络 
重 编号 的 过 程 中 十 分 重要 。 路 由 器 被 配置 一 个 具有 恰当 和 有 效 的 生命 周期 的 网 
络 地 址 前 缀 ， 这 一 前 缀 也 会 在 每 一 个 路 由 器 通告 消息 中 进行 发 布 。 成 功 通过 
DAD 过 程 证 明 唯 一 的 IP 地 址 可 以 分 为 首选 或 弃 用 。 在 这 两 种 状态 下 ， 地 址 都 是 
有 效 的 ， 但 是 这 种 分 化 为 上 层 协 议 (如 TCP, UDP) 提供 了 一 种 方法 去 选择 一 
个 PP 地址 ， 并 且 可 能 在 后 续 的 会 话 中 也 不 会 改变 〈 见 图 2-16) 。 


初始 化 和 定义 接口 ID 或 者 
发 布 DHCPv6 请 求 通过 重复 地 址 检测 


< -地 址 有 效 


暂时 的 


宣告 的 首选 生存 期 


”宣告 的 有 效 寿命 _ 


路 由 器 通告 
DHCPv6 地 址 分 配 


图 2-16 IPv6 地 址 生命 周期 ( 源 于 本 书 参考 文献 5 ) 


设备 通过 发 送 路 由 融通 告 消息 来 刷新 选 定 有 效 时 间 值 。 当 一 个 地 址 前 级 的 
选 定 时 间 值 到 期 ， 那 么 与 之 相关 联 的 地 址 也 会 被 弃 用 ， 尽 管 它 仍然 是 有 效 的 。 
因此 ,已 过 时 的 状态 具有 一 个 过 渡 期 ， 在 这 期 间 的 地 址 仍然 具有 相应 功能 ， 但 
是 不 能 用 来 发 起 新 的 通信 。 一 旦 地 址 的 有 效 生命 周期 结束 ， 那 么 这 个 地 址 也 就 
不 再 有 效 。 应 该 为 子 网 重新 分 配 一 个 不 同 的 网 络 前 缀 ， 这 样 路 由 带 可 以 配置 来 
发 布 这 个 新 前 级 ， 网 络 上 的 设备 会 用 新 的 前 缀 来 代替 过 期 的 旧 前 级 进行 自动 
配置 。 


2.5 移动 IPv6 


IPv6 的 移动 性 支持 ,或 者 称 之 为 移动 IPv6， 使 得 IPv6 节点 从 链 路 到 链 路 移 
动 时 无 颖 沟通。 这 意味 着 ,尽管 底层 网 络 传 输 、 数 据 链 路 层 和 物理 层 网 络 不 断 
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变化 ， 但 上 层 传输 和 应 用 层 通信 仍旧 保持 完好 。 当 然 改 变 链 路 时 ， 如 当 从 46 无 
线 服务 中 移动 到 Wiki 网 络 时 ， 这 意味 着 IPv6 前 级 的 改变 ， 那 么 这 个 移动 设备 就 
必须 改变 它 的 IPv6 地 址 了 。 这 种 连接 在 当前 网 络 上 的 IPv6 地 址 变化 ， 被 称 作 转 
交 地 址 。 

每 一 个 移动 IPv6 设备 也 有 一 个 “固定 的 ”JIPv6 地 址 被 称 为 其 归属 地 址 。 如 
果 这 个 设备 并 没有 漫游 而 是 “本 地 ”状态 的 ， 那么 IPv6 流量 路 由 会 很 自然 地 使 
用 它 的 归属 地 址 。 当 设备 漫游 时 ， 它 得 到 一 个 转交 地 址 ， 这 个 有 状态 或 无 状态 
的 地 址 是 根据 当前 所 在 位 置 和 所 连接 的 网 络 来 自动 配置 的 。 然 后 ， 移 动 节点 以 
其 归属 代理 注册 转交 地 址 ， 一 个 移动 IPv6 配置 路 由 器 在 链 路 上 为 这 些 移动 节点 
的 归属 地 址 进行 服务 。 当 移动 主机 是 归属 状态 ,那么 归属 代理 就 跟 普通 的 路 由 
器 一 样 给 设备 路 由 IPv6 数据 报 ， 如 图 2-17 所 示 。 当 移动 主机 在 漫游 状态 ， 那 么 
归属 代理 会 拦截 发 给 移动 主机 归属 地 址 的 IPv6 数据 报 并 使 用 转交 地 址 通过 隧道 
转发 给 移动 主机 。 


移动 节点 归属 代理 vn par ite 
归属 地 址 : 2001:db8:1:1 通信 节点 


图 2-17 归属 移动 的 移动 IPv6 


移动 主机 和 其 他 主机 (通信 节点 ) 之 间 的 通信 ， 仍 可 能 以 下 面 两 种 方式 之 
一 进行 。 使 用 隧道 的 方法 如 上 所 述 ，IPv6 数据 报 可 能 会 直接 与 归属 地 址 进行 通 
信 ， 这 样 它们 会 被 归属 代理 拦截 并 通过 隧道 转发 给 移动 主机 ; 返回 流量 将 遵循 
同样 的 路 线 ， 通 过 归属 代理 到 达 相 应 的 节点 。 这 一 过 程 如 图 2-18 左 图 所 示 。 


T'S 
通信 节点 


JRR 
IPv6-in-IPv6 隧 道 
访问 网 络 


去 节点 
Sa o n 转交 地 址 :2001:db8:ffff::1 
到 2-18 漫游 中 的 移动 IPv6 
一 般 来 说 ， 这 种 “三 角 路 由 ”的 过 程 不 仅 低 效 ， 还 可 能 导致 归属 代理 资源 
超载 。 移 动 节 点 和 通信 节点 之 间 一 种 更 高 效 更 直接 的 通信 方式 ， 如 图 2- 18 AE 
所 示 。 这 种 更 有 效 的 路 由 选择 只 要 求 对 应 节点 文 持 IPw6， 包 括 移动 性 扩展 报头 
即 可 。 移 动 头 是 用 来 在 移动 节点 和 通信 节点 携带 消息 ， 并 用 此 消息 去 证 实 转交 
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节点 和 归属 地 址 关联 ， 路 由 可 达 性 及 当 移动 主机 持续 移动 时 通信 连接 的 实时 更 
新 。 本 书 第 6 章 再 详细 讨论 这 部 分 内 容 。 

作为 扩展 头 的 补充 ， 移 动 IPv6 利用 以 下 五 种 ICMPv6 消息 类 型 : 

e 归属 代理 地 址 发 现 请 求 (ICMPv6 类 型 值 为 144) 一 一 允许 一 个 移动 节点 
初始 化 动态 归属 代理 发 现 。 在 移动 归属 地 址 前 级 附 上 已 知 的 归属 代理 任 播 地 址 
(本 书 第 3 章 会 讨论 )， 这 人 允许 移动 设备 识别 网 络 上 的 归属 代理 ， 如 漫游 时 一 个 
归属 代理 被 重新 配置 了 。 

o 归属 代理 地 址 发 现 响应 (ICMPv6 类 型 值 为 145 ) 响应 归属 代理 发 送 
的 归属 代理 地 址 发 现 请 求 ， 以 标识 它 作 为 归属 代理 的 单 播 地 址 。 

o 移动 前 缀 请求 (ICMPv6 类 型 值 为 146) 一 一 允许 一 个 移动 设备 去 收集 关 
于 它 的 归属 网 络 的 前 级 信息 ， 如 归属 网 络 重 新 配置 时 归属 网 络 前 缀 可 能 发 生 
变化 。 

e 移动 前 级 通告 (ICMPv6 类 型 值 为 147) 一 一 归属 代理 可 以 通过 使 用 这 个 
消息 与 目前 的 归属 网 络 前 缀 信息 进行 通信 。 

© 移动 IPv6 快速 切换 消息 (ICMPv6 类 型 值 为 154) 一 一 此 消息 类 型 ， 被 移 
动 节点 用 来 引起 路 由 器 发 送 代理 路 由 器 通告 ， 以 及 被 代理 路 由 器 用 来 提供 这 样 
的 通告 给 快速 移动 切换 。 服 务 提 供 商 通常 会 实现 这 样 的 代理 来 降低 空中 接口 开 
销 和 提高 网 络 效率 。 


= 


2.6 保留 子 网 任 播 地 址 


RFC 2526 〈 即 本 书 参 考 文献 [31] ) 定义 了 保留 子 网 任 播 地 址 的 格式 。 这 
些 地 址 被 IPv6 设备 用 来 在 一 个 特定 的 子 网 中 将 数据 报 路 由 到 距离 最 近 的 特定 
类 型 的 设备 。 例 如 ， 一 个 保留 子 网 任 播 地 址 可 以 在 特定 的 子 网 中 被 用 来 发 送 
数据 报到 最 近 的 移动 IPv6 归属 代理 。 由 于 全 局 路 由 前 级 和 子 网 ID 在 地 址 类 
型 中 是 被 规范 化 的 ， 这 使 得 一 个 节点 可 以 定位 子 网 中 距离 最 近 的 特定 类 型 
节点 。 

地 址 格式 呈现 两 种 形式 中 的 哪 一 种 ,取决 于 子 网 前 级 是 否 根 据 基于 接口 
ID 字段 经 改进 的 EUI-64 算法 推导 。 除 了 那些 以 [000], 开头 的 ， 所 有 全 局 
单 播 地 址 都 必须 使 用 64 位 接口 ID 机 制 ， 它 以 接口 的 链 路 层 地 址 和 之 前 提 到 
的 改进 的 EUI-64 算法 为 推导 基础 。 

1. 如 果 需 要 EUI-64 算法 ， 保 留 子 网 任 播 地 址 则 以 下 面 几 个 字段 串联 制定 : 

© 64 位 全 局 路 由 前 级 和 子 网 ID, 

* 除了 第 7 位 是 0，57 位 连续 的 全 1 (第 71 位 开始 从 左 向 右 数 )。 当 使 用 
EUI-64 算法 时 ， 这 个 第 7 位 与 硬件 地 址 中 的 公司 标识 符 字段 中 的 “u” 位 一 致 。 
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这 个 二 进 制 位 通常 为 0， 在 这 个 特定 的 情况 下 其 代表 “归属 ”。 

* 七 位 任 播 ID, RFC 2526 定义 了 一 个 单一 的 十 六 进 制 数 7e 作为 移动 IPv6 
归属 代理 任 播 地 址 ， 其 他 任 播 ID 是 保留 的 。 尽 管 IANA 可 能 会 根据 未 来 的 IETF 
REC 标准 分 配 另 外 的 任 播 ID ( 见 图 2-19)。 

0 63 64 57 位 120 121 127 


网 络 前 级 ies 任 播 ID 
(648) oo Wa (742) 


Z| 2-19 当 要 求 EUI-64 时 保留 子 网 任 播 地 址 格式 91 


2. 如 果 没 有 使 用 EUI- 64 ， 而 基于 全 局 路 由 前 缀 和 子 网 ID ， 那 么 网 络 前 绥 长 
度 是 任意 的 n 位 ， 紧 接着 是 121 -n 的 1 位 ， 后 跟着 7 位 任 播 ID (ILA 2-20), 


0 121 -n 位 ”120 121 127 


网 络 前 缀 i 任 播 ID 
(nf) ia na 111 (7 位 ) 


Z| 2-20 RER EUI-64 时 保留 子 网 任 播 地 址 格式 90 


2.7 要 求 的 主机 IPv6 HEHE 


RFC 4284 ( 即 本 书 参 考 文献 [32] ) 总 结 了 IPv6 节点 、 一 台 实 现 了 IPv6 的 
设备 和 IPv6 路 由 器 的 需求 。 根 据 所 需 的 地 址 ， 所 有 IPv6 节点 必须 能 够 识别 的 自 
己 的 IPv6 地 址 如 下 : 

e 回环 地 址 (:: 1)。 

o 本 地 链 路 单 播 地 址 (fe80:: < 接口 ID > 通过 自动 配置 进行 配置 ) 。 

e 全 部 节点 多 播 地 址 (ff0s:: 1， 其 中 s 为 范围 ) 。 

© 单 播 和 任 播 地 址 在 各 个 接口 上 自动 或 手动 配置 。 

o 每 个 单 播 和 任 播 地 址 的 请 求 节点 多 播 地 址 。 

e 节点 所 属 的 每 个 多 播 组 的 多 播 地 址 。 

此 外 ， 一 个 路 由 器 节点 还 需要 以 下 地 址 : 

© 子 网 路 由 器 任 播 地 址 ( < 子 网 前 级 > :: /128 ， 子 网 ID =0s) 除了 在 /127 
上 的 点 对 点 路 由 器 链 路 。 

e 所 有 路 由 器 多 播 地 址 (ff0s:: 2， 其 中 s 为 范围 ) 。 

o 在 路 由 器 中 配置 的 任 播 地 址 。 

其 他 设备 类 型 ， 如 DHCP 和 DNS 服务器， 必须 认得 范围 内 由 IANA 分 配 的 
组 ID (如 标志 =0) 对 应 的 多 播 地 址 。 
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2.8 IPv6 路 由 


IPv6 动态 路 由 操作 与 IPv4 路 由 的 相同 ， 它 使 用 最 长 前 级 匹配 算法 。 目 前 ， 
大 部 分 路 由 协议 已 经 更 新 可 支持 IPv6 前 缀 /路 由 器 的 通信 。 除 了 IPv6 目的 地 址 
的 手动 配置 静态 路 由 ，IPv6 内 部 网 关 协 议 支 持 以 下 几 项 ; 


e OSPFv3 最 短路 径 优 先 。 
e 整合 IS- ISv6 中 间 系 统 。 
e RIPng 一 一 下 一 代 路 由 信息 协议 。 


e 思科 EIGRP 一 一 增强 内 部 网 关 路 由 协议 。 
e 边界 网 关 协 议 (Border Gateway Protocol, BGP) 一 一 各 种 现存 的 外 部 网 关 
协议 支持 IPv4 以 上 的 版 本 ,也 支持 IPv6 协议 。 


第 3 25 ”IPv4/IPv6 共存 技术 


每 个 考虑 部 署 IPv6 的 组 织 机 构 都 必须 将 IPv4 和 IPv6 一 起 考虑 进去 。 这 是 十 
庸 置疑 的 ， 就 算 对 于 那些 打算 部 署 独立 IPv6 的 组 织 来 说 也 同样 如 此 。 这 就 又 说 
回 到 了 本 书 第 1 章 提 到 的 全 局 因特网 越 来 越 混合 的 问题 。 假 设 一 个 组 织 机 构 要 
接 入 到 这 个 无 所 不 在 的 因特网 ， 那 么 它们 的 部 署 应 该 同时 支持 IPv4 和 IPv6 一 段 
时 间 。 

由 于 IPv4 和 IPv6 的 兼容 性 不 太 友 好 ， 互 联网 社区 很 早 地 意识 到 了 IPv4 和 
IPv6 之 间 互 通 的 必要 性 。 事 实 上 ，IETF 至 今 已 经 提出 超过 20 种 IPv4 和 IPv6 T. 
通 的 方案 ， 显然 并 不 缺 可 行 方 案 。 但 困难 的 是 ， 在 这 么 多 的 选择 下 ， 如 何 筛选 
最 适用 你 的 网 络 的 技术 。 本 章 ， 将 把 重点 放 在 这 众多 相对 成 型 的 IPv4/IPv6 共存 
技术 上 ， 分 别 讨论 它们 的 显著 特点 和 优势 ， 从 而 帮助 你 作出 最 适合 部 署 你 的 网 
络 的 选择 。 

总 体 来 看 ， 这 些 Pv47IPv6 共存 技术 可 大 致 分 为 以 下 这 三 类 : 

© 双 栈 。IPv4 和 IPv6 都 在 网 络 设备 上 获得 支持 。 

o 隧道 。 将 IPv6 的 数据 报 封装 在 IPv4 的 数据 报 中 ,使 用 IPv4 网 络 进行 传 
输 ， 反 之 亦 然 。 

e 转换 。 指 耳 头 、 卫 地 址 和 端口 的 转换 ， 如 主机 、 网 关 或 NAT 设备 上 实现 
的 那样 。 

一 些 设备 提供 方 提出 了 双重 协议 策略 ， 会 选取 本 章 后 续 讨 论 的 多 种 技术 进 
行 结合 。 企 业 部 署 可 能 同样 需要 多 种 技术 的 结合 实施 ， 以 适应 分 阶段 部 署 和 合 
作 伙 伴 网 络 的 需要 等 。 而 双 栈 则 是 设想 中 最 普遍 的 实现 方法 。 


3.1 WH 


双 栈 方法 是 IPv4 和 IPv6 的 协议 栈 在 网 络 设 备 上 的 共同 实现 。 这 里 的 设备 包 
括 了 路 由 器 和 其 他 的 基础 设备 、 应 用 服务 器 、 终 端 用 户 设备 ， 它 们 都 需要 支持 
接 入 两 种 协议 网 络 层 的 技术 。 这 些 设备 都 需要 被 设置 IPv4 和 IPv6 两 种 协议 地 
址 ， 也 可 以 通过 管理 员 授权 对 应 不 同 协议 的 不 同 途 径 获 得 这 些 地 址 。 

使 用 双 栈 进行 部 署 ， 相 比 单 IP 的 协议 栈 ， 根 据 双 栈 共用 的 协议 的 不 同 ， 实 
施 的 形式 也 不 尽 相 同 。 理 想 的 情况 是 ， 只 改 用 双 网 络 层 ， 而 应 用 层 、 传 输 层 和 
数据 链 路 层 仍然 使 用 共同 的 协议 。 这 种 方式 已 经 在 微软 Windows Vista 和 
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Windows 7 系统 上 采用 ， 相 反 微 软 Windows XP 对 传输 层 和 网 络 层 均 采用 了 双 栈 
结构 ， 而 这 种 方式 有 时 候 会 导致 在 双 协 议 栈 上 的 元 余 配 置 。 而 其 他 有 一 些 方法 ， 
则 将 双 栈 的 范围 扩展 到 物理 层 ， 这 就 要 求 网 络 为 Pv6 和 IPv4 分 别提 供 网 络 层 接 
口 。 这 种 部 署 方法 虽然 无 法 体现 分 层 网 络 协议 模型 优势 ， 却 是 有 针对 目的 的 。 
尤其 是 对 于 装载 许多 复杂 的 应 用 和 服务 的 网 络 服务 器 ， 其 中 的 某 些 应 用 或 服务 
只 支持 某 一 种 IP 时 ， 会 变 得 尤为 合理 。 


3.1.1 双 栈 的 实施 


双 栈 设备 的 部 署 使 用 同一 物理 网 络 接口 。 也 就 是 说 ，IPv4 和 IPv6 在 同一 物 
理 链 路 上 工作 ， 该 双 栈 网 络 原 理 (物理 和 逻辑 ) 如 图 3-1 所 示 。 根 据 分 层 协议 
特性 ， 以 太 网 和 其 他 处 于 模型 第 二 层 的 技术 均 能 够 为 I Pv4 和 IPv6 中 的 其 中 一 种 
协议 提供 负载 支持 。 双 栈 设 备 需要 同一 路 由 器 支持 同 为 双 栈 的 链 路 ， 或 者 IPv4 
和 IPv6 的 路 由 器 之 间 有 直接 链 路 连通 。 为 给 定 的 设备 分 配 IPv4 和 IPv6 地 址 时 ， 
采用 以 下 手段 : 


IPv4/IP v6 
路 由 器 


单 IPv6 


IPv4/IPv6 
路 由 器 


单 IPv4 pas PIP V6 
图 3-1 双 栈 网 络 原理 '*” 


e 对 于 路 由 器 、 交 换 机 和 接 人 互联 网 的 设备 (如 网 站 、 邮 件 服务 器 ) 这 样 
的 基础 设备 ， 可 以 人 工 直接 在 设备 上 配置 IPv4 和 IPv6 地 址 ， 使 得 这 些 设备 具有 
确定 的 持续 一 致 的 地 址 。 当 更 改 这 些 设备 上 的 地 址 时 ， 相 对 应 的 DNS 资源 记录 
(A 或 AAAA) 也 要 随 之 改变 。 

e 对 于 其 他 的 非 基础 设备 ， 除 了 同样 采用 静态 分 配方 法 外 ， 也 可 使 用 动态 地 
址 分 配 。 通 常 使 用 DHCP 对 IPv4 地 址 进行 动态 分 配 。 而 对 于 IPv6 地 址 ， 对 应 地 
可 使 用 DHCPv6 进行 分 配 ， 或 者 使 用 SLAAC 进行 分 配 ， 也 可 以 是 两 者 的 结合 。 
注意 ，IPv4 地 址 和 IPv6 地 址 的 分 配 是 相对 独立 的 ， 并 不 存在 通过 一 次 操作 就 既 
分 配 IPv4 地 址 、 又 分 配 IPv6 地 址 的 DHCP; 对 IPw4 和 IPv6 两 者 也 可 以 分 别 采 用 
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不 同 的 分 配 策略 ， 如 一 种 用 静态 分 配方 法 而 另外 一 种 采用 DHCP, 

路 由 絮 被 普遍 预期 会 是 第 一 种 需要 升级 支持 两 种 协议 的 设备 。 而 一 个 关于 
信息 类 的 标准 一 一 RFC 4554 ( 即 本 书 参 考 文献 [33]) 描述 了 一 种 无 需 立 即 升 
级 路 由 器 ， 只 使 用 VLAN 进行 配置 的 全 新 方法 。 此 方法 利用 了 VLAN 标识 ,使 
二 层 的 交换 机 可 以 向 一 台 或 多 台 支 持 IPv6 WER AES FB ARIK AT IPv6 负载 
的 以 太 网 帧 。 将 某 台 路 由 器 (如 连接 IPv6 网 络 (因特网 ) 的 网 关 ) 升级 至 支持 
IPv6 后 ， 与 该 路 由 器 连接 的 交换 机 端口 等 都 可 配置 为 “IPv6 VLAN”。 而 其 他 
IPv6 或 双 栈 设备 则 可 以 配置 成 此 IPv6 VLAN 的 成 员 ， 类 似 的 ， 可 以 配置 多 个 这 
样 的 VLAN。 图 3-2 所 示 的 使 用 VLAN 的 双 栈 部 署 ， 是 这 种 部 署 的 一 个 示例 。 


Pa SS 
T 
IPv4 路 由 器 


IPv6 路 由 器 


T at 


二 层 交 换 机 > 
子 网 A 
if ieee 二 层 交 换 机 
ii | IPv4 主 机 群 111 l IPv6 主 机 群 ti 
| 双 栈 主机 
IPv4 VLAN 
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Z|3-2 使 用 VLAN 的 双 栈 部 署 3 


3.1.2 使 用 哪 种 地 址 


为 选 定 的 设备 配置 好 IPv4 和 IPv6 地 址 后 ， 要 如 何 指 定 何 时 用 何 种 协议 呢 ? 
RFC 6724 ( 即 本 书 参 考 文献 [34]) 描述 了 当 上 层 应 用 9 没有 指定 选用 IPv6 设 
备 时 ， 分 别 如 何 选择 源 地 址 和 目的 地 址 的 算法 。 这 种 情况 下 ， 它 通常 会 调用 
getaddrinfo () 套 接 字 接口 (sockets API) ， 向 它 的 TCP/IP 栈 获取 一 个 目的 耳 地 


”例如 ,输入 一 个 中 地 址 打开 FTP 会 话 时 ， 这 个 目的 下 地 址 即 被 使 用 〈 假 设 目的 地 址 的 设备 使 用 
的 协议 版 本 与 源 地 址 一 致 ) 。 
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址 。 因 此 ， 如 果 你 的 笔记 本 电脑 是 双 栈 的 ， 当 你 访问 一 个 “www” 网 址 时 ， 浏 
览 器 会 使 用 getaddrinfo () 调用 获取 一 个 或 者 一 组 目的 IP 地 址 。RFC 6724 所 定 
义 的 这 个 地 址 选择 算法 是 通过 ， 使 用 getaddrinfo ( ) 调用 ,将 返回 应 用 的 IP 地址 
按 优先 级 进行 排序 ， 从 而 选择 所 需 的 目的 地 址 。 而 源 地 址 通常 是 由 网 络 层 (如 
根据 你 的 笔记 本 电脑 上 的 设置 ) 进行 选择 ， 用 于 初始 化 选择 目的 地 址 的 连接 。 

地 址 选择 基于 以 下 几 项 输入 参数 : 设备 配置 的 地 址 、 这 些 地 址 的 状况 (如 
优先 与 弃 用 ) 、 地 址 的 范围 (如 ULA 与 公共 地 址 ) ， 以 及 A 型 或 AAAA 型 DNS 
域名 解析 返回 的 地 址 。 其 过 程 是 ， 通 过 设备 的 TCP/IP 栈 (通常 搭建 于 设备 的 操 
作 系 统 上 ) ， 根 据 策略 表 ， 从 候选 的 地 址 中 ， 选 择优 先 级 最 高 的 或 者 最 适合 的 地 
址 。 策 略 表 采 用 最 长 前 缀 匹配 表 ， 表 中 为 每 个 前 级 配置 关联 的 优先 级 值 和 标记 
值 ， 见 表 3-1。 


表 3-1 地 址 选择 策略 表 "”] 


前 组 È 先 级 标 id 说 明 
: :1/128 60 0 回环 地 址 
::/0 40 2 IPv6 地 址 
: :ffff:0 :0/96 30 3 IPv4 地 址 (IPv4 映射 ) 
2002: :/16 20 4 6to4 地 址 
2001; :/32 10 5 Teredo 地 址 
fc00 : :/7 50 1 唯一 区 域 地 址 (ULA) 
::/96 1 10 IPv4 兼容 地 址 (已 弃 用 ) 
fec0: :/10 1 11 站 点 本 地 地 址 (已 弃 用 ) 
3ffe: :/16 1 12 6bone 地 址 ( 逐渐 被 淘汰 ) 
DNS 返回 的 目的 地 址 参照 它们 各 自 优先 级 的 值 进行 排序 ， 优先 级 越 高 ， 在 


返回 的 地 址 列表 就 越 靠 前 。 而 同样 的 ， 源 地 址 也 根据 优先 级 的 值 划 分 优先 顺序 ， 
不 过 带 有 目的 地 址 标记 值 的 源 地 址 会 更 加 优先 。 因 此 ， 如 果 DNS 域名 解析 到 了 
一 个 ULA 地 址 ， 而 源 设备 就 是 带 对 应 前 级 的 ULA 地 址 ， 那 么 IPv6 头 中 对 应 的 源 
地 址 和 目的 地 址 将 会 被 设 定 为 这 些 ULA 地 址 。 如 果 上 面 给 出 的 策略 表 按 照 优 先 
级 值 的 递减 顺序 排列 ， 那 么 大 致 将 得 到 的 是 如 下 优先 级 排列 的 顺序 ， 依 次 为 回 
环 地 址 、ULA 地 址 、IPv6 地 址 、IPw4 地 址 6to4 地 址 、Toredo Hutt, Æ F =I 
的 优先 级 值 均 为 “1”， 即 不 提倡 使 用 。 从 IPv4/1IPv6 共存 的 角度 看 ， 根 据 这 个 默 
认 策 略 表 ， 显 然 IPv6 要 优先 于 IPv4 被 使 用 。 

RFC 6555 ( 即 本 书 参考 文献 [35]) 定义 的 “快乐 眼球 双 栈 (happy 
eyeballs dual stack)” ”是 影响 IPv4 和 IPv6 连接 选择 的 另 一 个 因素 。 建 立 一 个 连接 
(由 TCP 或 应 用 创建 ) 的 常规 步 又 是 ， 对 上 述 地 址 选择 返回 的 地 址 依次 进行 连接 
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建立 。“ 快 乐 的 眼球 ”方法 力图 减少 潜在 的 连接 延迟 ， 当 一 个 刚 建立 的 IPv6 E 
接 断 开 时 ， 紧 随 其 后 的 IPv4 连接 可 以 成 功 建立 。 实 现 过 程 是 ,假设 IPv6 地 址 在 
地 址 选择 中 最 优先 ， 则 先 试图 建立 IPv6 连接 ; 然后 ， 假 设 在 地 址 选择 过 程 中 返 
回 最 靠 前 的 为 IPv4 地 址 ， 则 在 短暂 的 300 ms 延迟 之 后 ， 初 始 化 IPv4 连接 。 使 用 
这 样 的 方法 ，IPv6 连接 如 果 建 立 失 败 ， 那 么 转 为 建立 IPv4 连接 的 延迟 就 被 最 小 
化 了 ,应 用 的 体验 受到 的 影响 很 小 。 这 个 方法 的 使 用 前 提 是 ， 尝 试 建立 的 连接 
所 给 定 的 主机 域名 (U www. ipamworld. com) 已 经 以 A 型 和 AAAA 型 存 于 DNS 
资源 记录 。 因 此 ， 建 议 2 在 DNS 记录 中 同时 使 用 两 种 类 型 保存 双 栈 的 域名 ， 而 
不 是 只 使 用 “ipv6” 这 样 的 标识 (如 ipv6. ipanworld. com) 。 


3.1.3 探究 DNS 


回顾 之 前 的 讨论 ， 注 意 到 IPv6 主机 策略 表 ， 显 然 ， 在 双 栈 主机 中 DNS 给 
IPv6 数据 流 扮 演 了 重要 的 角色 。 为 同样 的 主机 域名 分 别 存 和 人 AAAA 记录 和 A 记 
录 ， 会 使 源 设备 在 IPv6 可 用 时 均 使 用 IPv6 连接 。 事 实 上 ， 对 于 本 章 所 讨论 的 每 
个 过 渡 技术 ，DNS 都 是 非常 关键 的 ， 毕 况 它 对 终端 的 不 同 域名 标识 之 间 提 供 了 
至 关 重 要 的 联系 ， 如 应 用 层 上 的 网 站 地 址 和 目的 IP 地 址 (无论 是 IPv4 或 IPv6 
地 址 )。 而 且 ， 由 于 IPv6 需要 编 址 ， 在 应 用 层 上 ， 用 户 会 发 现 ， 输 入 IPv6 地 址 
比较 麻烦 。 终 端 用 户 若 要 访问 双 栈 设备 ， 需 先进 行 DNS 域名 解析 (可 由 管理 员 
配置 ， 分 别 将 此 节点 的 IPv4 地 址 和 IPv6 地 址 分 别 关联 一 个 A 记录 和 一 个 AAAA 
记录 )。 记 录 中 ， 域 名 所 有 者 可 能 有 相同 或 不 同 的 关联 到 此 设备 的 主机 名 ， 参见 
下 面 的 例子 : 

dual- stack- host. ipamworldwide. com. 86400 IN A 10. 200. 0. 16 

dual- stack- host. ipamworldwide. com. 86400 IN AAAA 2001 : db8 :2200: :a 

这 个 例子 中 ， 主 机 dual- stack- host. ipamworldwide. com 对 IPv4 和 IPv6 均 支 
持 。 双 栈 设 备 访问 这 台 主 机 时 ， 会 先 试 图 通过 IPv6 连接 ， 若 失败 则 转 而 试图 进 
行 IPv4 连接 。 

为 使 IP 地 址 转向 主机 ， 域 名 应 该 在 DNS 中 使 用 恰当 的 . arpa 域名 进行 配置 。 
PTR 资源 记录 对 应 IPv4 地 址 ， 列 首 写 和 人 恰当 的 in- addr. arpa zone 文件 ; 同 理 ， 
IPv6 PTR 记录 则 在 恰当 的 ip6. arpa zone 文件 中 配置 。 而 所 谓 “ 恰 当 的 ”zone X 
件 ， 则 取决 于 组 织 的 DNS 管理 策略 。 一 些 DNS 集中 化 管理 的 组 织 会 分 别提 供 一 
个 包含 所 有 IPv4 的 PTR 记录 的 in- addr. arpa zone 文件 ， 以 及 一 个 包含 所 有 IPv6 


”实际 上 ， 在 连接 的 初始 化 和 测试 中 ，IPv6 地 址 单独 使 用 一 个 主机 域名 ， 对 解决 连接 问题 而 言 是 
一 个 好 习惯 。 但 是 已 被 证 实 的 是 ，AAAA 记录 所 有 者 将 其 转换 为 常规 的 主机 名 ， 而 独立 IPv6 主 
机 名 可 以 被 省 去 。 
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PTR 记录 的 ip6. arpa zone 文件 。 而 另 一 些 组 织 则 向 子 网 管理 者 提供 DNS 权限 ， 
为 每 个 子 网 都 发 放 反 向 解析 文件 ! 虽然 如 此 ， 大 多 数组 织 最 后 管理 的 zone X 
件数 量 都 是 适度 的 。 不 论 有 多 少 zone 文件 ， 都 需要 分 别 为 每 台 主 机 配置 资源 
记录 。 

16. 0. 200. 10. in- addr. arpa. 86400 IN PTR dual- stack- host. 

ipamworldwide. com. 

a. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 2. 2. 8. b. 

d. 0. 1. 0. 0. 2. ip6. arpa. 86400 IN PTR dual- stack- host. 

ipamworldwide. com. 

要 进行 DNS 解析 、 与 目的 主机 (依照 地 址 选择 策略 表 返 回 的 结果 所 对 应 的 
地 址 和 协议 ) 通信 ， 双 栈 的 节点 必须 支持 接收 A 记录 和 AAAA 记录 。 根 据 DNS 
查询 和 结果 所 使 用 的 IP 版 本 ，RFC 3901 [因特网 当前 最 佳 实践 (Internet Best 
Current Practice 91) ] 建议 每 个 递归 式 DNS 要 么 支持 单 IPv4， 要 么 支持 IPv4/ 
IPv6 双 栈 。 这 个 REC 文档 也 建议 ， 每 个 DNS zone 应 由 至 少 一 个 IPv4 可 达 的 DNS 
授权 服务 器 进行 维护 。 这 些 建 议 阐述 了 为 相当 一 段 时 间 内 大 量 的 单 IPv4 使 用 提 
供 的 向 后 兼容 的 解决 方案 。 因 此 ， 如 果 你 计划 在 你 的 子 网 实施 双 栈 ,那么 子 网 
内 必须 包括 DNS, 


3.1.4 探究 DHCP 


实施 双 栈 时 ，DHCP 的 使 用 相对 简单 一 一 各 个 栈 分 别 使 用 对 应 版 本 的 
DHCP。 也 就 是 说 ， 要 获得 IPv4 地 址 ， 就 使 用 DHCP (v4); 而 要 获得 IPv6 地 址 
或 前 级 ， 就 是 用 DHCPv6。 不 过 ， 两 种 DHCP 形式 都 需要 补充 一 些 配置 信息 ， 如 
使 用 哪 台 DNS 或 NTP 服务 器 等 。 这 两 种 协议 栈 的 服务 器 的 信息 结合 如 果 处 理 得 
不 适当 ， 可 能 会 使 客户 端 不 正常 工作 。 例 如 ， 如 果 两 栈 的 DHCP 都 提供 了 DNS 
地 址 ， 那 么 ，IPv4 和 IPv6 的 优先 顺序 ， 或 者 混合 的 优先 顺序 都 可 能 导致 地 址 不 
能 正常 传送 。 对 这 个 情况 的 担忧 一 直 存 在 ， 就 像 RFC 4477 ( 即 本 书 参 考 文 献 
[37] ) 中 提 到 的 一 样 。 不 过 ， 现 行 的 标准 是 ， 为 IPv4 使 用 DHCP 服务 器 ， 另 为 
IPv6 使 用 DHCPv6 服务 器 ， 当 然 实 际 上 它们 有 可 能 运行 在 同一 台 普 通 的 服务 
器 上 。 


3.2 隧道 方法 


IPv4/1Pv6 共存 技术 的 第 二 个 主要 类 别 是 隧道 技术 ,目前 已 经 有 支持 在 IPv6 
上 的 IPv4 和 在 IPv4 上 的 IPv6 的 多 种 隧道 技术 。 这 些 技术 总 体 来 看 可 分 为 手工 配 
置 隧 道 或 自动 配置 隧道 。 手 工 配置 隧道 是 预先 定义 的 ， 而 自动 配置 隧道 (也 被 
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称 为 “ 软 线 隧 道 ”) 的 建立 和 拆除 是 动态 的 。 回 顾 一 些 隧 道 技术 的 基础 后 ， 下 面 
将 讨论 这 两 种 隧道 类 型 。 

一 般 情况 下 ， 在 IPv4 网 络 上 的 IPv6 隧道 技术 需要 将 IPv6 的 报 文 加 上 IPv4 
的 报头 作为 前 级 。 这 样 使 得 IPv6 的 数据 报 能 够 在 IPv4 路 由 设施 上 按照 路 线 发 

送 。IPv6 报 文 被 简单 地 认为 是 IPv4 数据 报 ( 见 图 3-3) 中 的 有 效 负载 。 隧 道 的 
人口 节点 ， 无论 是 路 由 器 或 主机 ， 将 进行 封装 。 在 IPv4 报头 的 源 地 址 处 填 人 该 
节点 的 IPv4 地 址 ， 然 后 目的 地 址 是 隧道 另 一 个 端点 。IPv4 报头 中 的 协议 字段 
(protocol field) 被 设置 为 十 进 制 的 41， 用 以 标明 这 是 一 个 IPv6 报 文 的 封装 。 在 
隧道 的 出 口 节点 ，IPv4 的 报头 将 被 剥离 解 封 ， 该 数据 报 将 作为 IPv6 报 文 被 路 由 
至 最 终 的 IPv6 目的 地 址 。 


IPv6 报 头 TCP/UDP 


IPv4 报 头 IPv6 报 头 TCP/UDP 


到 3-3 IPv6 上 的 IPv4 bei 8! 


3.2.1 IPv4 网 络 上 IPv6 数据 报 的 隧道 方案 


通过 使 用 这 种 基本 的 隧道 方法 ,设计 了 基于 隧道 的 两 个 端点 多 种 情况 。 可 
能 最 常见 的 配置 是 一 条 路 由 器 到 路 由 器 的 隧道 ， 如 图 3-4 所 示 ， 这 是 对 于 配置 隧 
道 的 最 常用 的 方法 。 


IP IPv6 主 机 
v4 地 4 地 址 =C vos aE =Z 


1 
A V6 源 地 址 =W 
OSES =W v6 目标 地 址 =Z 
v6 目标 地 址 =Z 


到 3-4 ”路 由 器 到 路 由 器 的 隧道 '* 


图 中 ， 左 侧 起 始 的 IPv6 主机 具有 的 IPv6 地 址 为 W (为 了 简单 起 见 ) ; KE 
IPv6 地 址 为 Z 的 远 端 主机 的 数据 报 2 被 发 送 到 一 个 连接 W 所 在 子 网 的 路 由 器 上 。 


图 3-4 中 ， 报 文大 致 标识 为 原始 主机 下 的 实 线 和 矩形 ， 显 示 包 的 IPv6 源 地 址 W 和 目的 地 址 Z。 在 这 
个 和 随后 的 隧道 图 中 ， 隧 道 头 显示 为 虚线 矩形 。 
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该 路 由 器 的 IPv4 地 址 为 B，IPv6 地 址 为 X， 接 收 IPv6 报 文 。 路 由 器 被 配置 为 将 
发 送 往 Z 所 在 的 网 络 的 数据 报 使 用 隧道 传输 ,路 由 器 将 会 用 IPv4 报头 封装 这 些 
IPv6 报 文 。 该 路 由 器 使 用 其 IPw 地 址 (B) 作为 IPv4 源 地 址 ， 然 后 用 隧道 终点 
的 路 由 器 的 IPv4 地 址 (C) 作为 目的 地 址 ， 如 图 3-4 所 示 的 中 央 IPv4 网 络 下 的 
虚线 矩形 。 使 用 隧道 技术 的 数据 报 会 像 “ 常 规 ”IPv4 数据 报 一 样 按照 路 由 路 径 
发 送 到 隧道 终端 的 目的 路 由 器 。 该 路 由 器 解 封装 数据 报 ， 去 除 掉 IPv4 报头 ， 然 
后 将 原始 的 IPv6 数据 报 发 送 给 原 定 的 目的 地 址 Z。 

另 一 种 隧道 技术 方案 是 用 能 够 同时 支持 IPv4 和 IPv6 的 一 台 IPv6/IPv4 € 
机 ; 该 主机 可 以 通过 隧道 技术 将 数据 报 发 送 给 路 由 右 ; 该 路 由 器 解 封装 数据 
报 然后 通过 纯 IPv6 网 络 进行 路 由 传输 。 这 个 流程 和 报头 地 址 如 图 3-5 所 示 。 
这 种 隧道 技术 的 原理 和 路 由 器 -路 由 器 实例 的 一 样 ， 但 是 隧道 的 终点 是 不 一 
样 的 。 


agri Ar v4 地 址 =B IPv6 路 由 器 


IPv6 主 机 
EN v6 itt HE =X v6 地 址 =Y v6 地 址 =Z 
y = 
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= 
M e 
TE ZW v6 目标 地 址 =Z v6 目标 地 址 =Z 
v6 目标 地 址 =Z 


图 3-5 ”主机 到 路 由 器 的 隧道 配置 


路 由 絮 - 主 机 的 隧道 配置 也 很 相似 ， 如 图 3-6 所 示 。 图 中 左 侧 起 始 的 IPv6 E 
机 发 送 IPv6 数据 报 给 本 地 路 由 器 ， 本 地 路 由 顺 发 送 给 距离 目的 地 最 近 的 路 由 器 。 
该 路 由 器 被 配置 为 利用 隧道 技术 将 IPv6 数据 报 通过 IPv4 网 络 发 送 给 图 中 所 示 的 
主机 。 


IPv4 网 络 AN 
AEEA O 
IPv6 主 机 IPY6 路 由 器 
v6 地 址 =W v6 地 址 =X T 和 


到 3-6 ”路 由 器 到 主机 的 隧道 配置 * 


最 后 一 种 隧道 技术 的 配置 是 跨度 从 头 到 尾 ， 从 主机 到 主机 。 如 果 路 由 基础 
设施 还 没有 被 升级 到 支持 IPv6， 那 么 这 种 隧道 技术 的 配置 使 得 两 台 IPv6/IPv4 主 
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机 可 以 通过 图 3-7 所 示 的 隧道 进行 通信 。 


1 ”v4 源 地 焉 =A 1 1 A i 1 vA VASE A 


[eS] on one [| rp] 
| | ae Z | ae Z 


3-7 ”主机 到 主机 的 隧道 配置 


3.2.2 隧道 类 型 


正如 之 前 所 提 到 的 ， 隧 道 可 以 是 手工 配置 的 也 可 以 是 自动 配置 的 。 手 工 配 
置 的 隧道 ， 如 6in4 隧道 ， 是 管理 员 在 通信 前 预先 配置 的 。 在 上 文 描述 的 情境 中 ， 
需要 手动 配 隧道 出 入 端点 的 隧道 配置 参数 及 其 他 参数 ， 以 决定 何 时 使 用 隧道 ， 
也 就 是 利用 目的 地 址 ， 来 判别 是 否 需 要 使 用 隧道 。 

自动 配置 隧道 并 不 需要 预先 配置 隧道 ， 但 还 是 要 求 进 行 配置 启动 隧道 。 隧 
道 是 基于 包含 了 IPv6 数据 报 (如 源 地 址 IP 或 目的 地 址 IP) 在 内 的 信息 创建 的 。 
本 节 将 介绍 自动 配置 隧道 技术 : 

© 6to4 。 自 动 配置 隧道 技术 基于 全 局 唯一 的 地 址 前 缀 和 关联 的 全 局 (公共 ) 
IPv4 地 址 ; 6to4 可 用 于 在 基于 IPv4 的 MPLS 网 络 上 互 连 企 业 网 络 中 多 个 远程 站 
点 ， 虽 然 连接 到 因特网 站 点 时 ， 测 量 到 的 连接 失败 率 为 10% ~25% DB 。 

e 站 内 自动 隧道 寻 址 协议 ( Intra- Site Automatic Tunnel Addressing Protocol, 
ISATAP) 。 自 动 化 主机 -路 由 器 ， 路 由 器 - 主机 ， 或 者 主机 - 主机 隧道 技术 ， 这 基 
于 一 种 特殊 内 能 有 IPv4 地 址 的 IPv6 地 址 格式 。 

© 6over4。 使 用 IPv4 多 播 实现 主 机 - 主机 自动 配置 的 隧道 技术 。 

。 隧道 代理 。 当 主机 需要 隧道 时 ， 由 服务 器 作为 隧道 代理 分 配 隧道 网 关 资 源 
的 方式 自动 配置 隧道 。 

e Teredo。 通 过 在 IPv4 网 络 NAT 防火 墙 的 自动 配置 隧道 ， 但 测 得 的 网 络 连 
接 失 败 率 约 占 连接 尝试 的 40% ~50% 。 

© 双 栈 过 渡 机 制 (Dual Stack Transition Mechanism，DSTM)。IPv4 数据 报 在 
IPv6 网 络 上 使 用 的 自动 配置 隧道 。 
3.2.2.1 6to4 

6to4 是 指 一 种 “IPv6 over IPv4” 的 隧道 技术 。 这 种 技术 利用 一 种 特殊 的 
IPv6 地 址 格式 来 标识 6to4 数据 报 。 该 地 址 格式 包含 了 一 个 6to4 RTZ, 2002: :/ 
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16; 其 后 为 一 个 全 球 唯一 IPv4 地 址 ， 当 使 用 主机 /路 由 器 - 主机 隧道 技术 时 ， 则 
是 目的 网 站 或 目的 主机 的 IPv4 地 址 。 这 种 串 接 形 成 /48 BTR, WE 3-8 所 示 。 


全 球 唯一 的 IPv4 地 址 : 
Oooooooooooo000000001010000011 
6to4 前 缀 : 2002::/16 — 


001000000000001011000000000000000000001010000011| 


2002:c000:283::/48 


图 3-8 6to4 HOHE AAR ASHE EO? 


在 这 个 例子 中 ， 唯 一 的 IPv4 地 址 192. 0. 2. 131 表示 终止 6to4 隧道 的 6to4 路 
由 器 或 主机 的 公共 IPv4 地 址 。48 位 的 6to4 前 缀 作为 全 局 路 由 前 绥 ， 一 个 子 网 ID 
可 以 被 附加 为 接 下 来 的 16 位， 后 跟 一 个 完全 定义 的 IPv6 地 址 的 接口 D, EH 
6to4 隧道 技术 的 主机 必须 将 其 IPv6 数据 报 的 有 效 负 载 封 装 和 解 封 装 在 IPv4 数据 
报 中 ( 即 追 加 IPv4 报头 )， 这 样 路 由 器 可 以 在 IPv4 网 络 中 对 IPv6 数据 报 进行 路 
由 寻 址 。 该 技术 必须 采用 支持 6to4 隧道 技术 的 路 由 器 (6to4 路 由 器 ); 而 且 通 过 
6to4 隧道 发 送 / 接 收 数据 的 IPv6 主机 ， 必 须 使 用 6to4 地 址 进行 配置 ， 该 主机 被 认 
为 是 6to4 主机 。 

来 看 一 个 例子 : 两 个 包含 IPv6 主机 的 网 站 想 要 通信 ， 并 通过 与 公共 IPv4 网 
络 (如 因特网 ) 相连 的 6to4 路 由 器 互相 连接 。 如 图 3-9 所 示 ， 面 向 互联 网 的 两 
台 路 由 器 的 IPv4 接口 的 IPv4 地 址 分 别 为 192. 0. 2. 130 和 198. 51. 100. 1。 将 IPv4 
地 址 转化 为 6to4 地 址 ， 分 别 得 到 了 2002: c000: 282:: /48 和 2002: c633 : 
6410:: /48。 每 个 从 各 自 网 站 来 的 /48 块 都 可 以 被 通告 在 互联 网 上 ， 可 以 在 各 自 
的 组 织 内 分 配 (分 割 ) 为 /64 子 网 ， 对 于 每 个 子 网 都 要 求 IPv6 主机 在 IPv4 互联 
网 或 其 他 IPv4 私 网 上 的 连通 性 。 为 简单 起 见 ， 左 端的 6to4 主机 子 网 ID =0 和 接 
口 ID =11。 因 此 ， 这 人 台 主 机 的 6to4 地 址 为 2002: c000; 282: 1:: 11。 同 样 ， 在 
另 一端 〈 右 端 ) 的 6to4 主机 所 在 子 网 ID =0 和 接口 ID =0， 因 而 6to4 地 址 为 
2002; c633:; 6401:: F0, 


v6 源 地 址 =2002:c000:282::11 v6 源 地 址 =2002:c000:282::11 v6 源 地 址 =2002:c000:282::11 
目标 地 址 =2002:c633:6401::f0 6 目标 地 址 =2002:c633:6401::f0 | |v6 目 标 地 址 =2002:c633:6401::f0 


6to4 路 由 器 6to4 路 由 器 IPv6 主 机 
IPv6 主 机 IPv4 地 址 =192.0.2.130 IPv4 地 址 =198.51.100.1 JIPv6 地 址 =2001:db8:ac1::f0 


IPv6 地 址 =2001:db8:e4c0::11 6to4 地 址 =2002:c633:6401::f0 
6to4 地 址 =2002:c000:282::11 


图 3-9 6to4 隧道 的 例子 3 
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这 些 6to4 地 址 对 应 的 AAAA 和 PTR 资源 记录 也 应 该 被 添加 到 相应 域 的 DNS 
中 。 当 使 用 隧道 转发 数据 穿 透 因特网 时 ，AAAA 和 PTR 所 记录 的 目的 地 由 每 个 
管理 相应 6to4 设备 的 组 织 维护 ， 该 决议 可 能 需要 向 下 遍历 每 个 域 的 子 树 。 该 
AAAA 记录 遵循 正常 “转发 域 ”决议 , 但 PTR 记录 不 是 那么 简单 。 尽 管 PTR id 
录 的 域 树 形 结构 基于 其 对 应 的 IPv6 地 址 ， 但 在 6to4 隧道 中 ， 它 是 由 一 个 基于 
IPv4 地 址 空间 的 机 构 “ 自 我 配置 ”的 ， 而 不 是 上 游 的 IPv6 地 址 管理 组 织 分 配 ， 
ip6. arpa 代理 与 上 层 的 管理 域 无 关 。 一 个 特别 的 注册 项 被 设立 来 专门 处 理 来 自 
2. 0. 0. 2. ip6. arpa 域 [号 人 码 资源 组 织 (Number Resource Organization, NRO) ] 的 
委托 。 对 应 例子 中 2002: c000: 282:: /48 前 级 的 ip6. arpa 域 的 管理 员 ， 将 
用 6to4. nro. net 连同 相应 的 权威 域名 服务 器 注册 2. 8. 2. 0. 0. 0. 0. C. 2. 0. 0. 2. ip6. 
arpa 域 。 

回 到 数据 报 流 ， 当 图 3-9 所 示 左 端的 主机 想 要 与 右 端的 主机 通信 ， 会 进行 一 
XE MEEVLAY DNS HERR, CARER HOHE ETA St M (2002. 
0633: 6401:; 和 ) 。 基 于 策略 表 里 标 签 的 匹配 ， 发 送信 息 的 主机 将 利用 其 6to4 
地 址 (2002; c000: 282:: 11) 作为 源 地 址 和 目标 主机 6to4 地 址 作为 目的 地 址 。 
当 左 侧 的 6to4 路 由 器 收 到 这 个 数据 报 ， 这 个 路 由 器 将 分 别 使 用 它 的 〈 源 地 址 为 
192. 0. 2. 130) 和 另 一 端 6to4 路 由 需 的 〈 目 的 地 址 为 198. 51. 100.1) IPv4 地 址 
作为 IPv4 报头 封装 数据 报 。 接 收 到 数据 报 的 目的 6to4 路 由 器 解 封装 去 除 IPv4 报 
头 ， 并 将 数据 报 路 由 到 2002: ec633: 6401:: / 64 网 络 中 的 目标 6to4 主机 。 

6to4 可 以 为 IPv6 在 IPv4 网 络 的 通信 提供 一 个 有 效 的 机 制 。 随 着 IPv6 网 络 的 
逐步 部 署 ，6to4 中 继 路 由 器 ， 即 支持 6to4 的 IPv6 路 由 器 ， 可 以 通过 IPv4 网 络 ， 
从 “ 纯 ”IPv6 网 络 主机 到 IPv6 主机 来 传递 数据 报 ， 实 质 上 是 充当 IPv6 网 络 和 
6to4 主机 或 路 由 器 之 间 的 网 关 。 这 使 得 6to4 主机 可 以 与 纯 IPv6 网 络 主机 通信 ， 
反之 亦 然 。 

然而 ， 对 于 这 种 寻 址 和 隧道 模式 的 应 用 ，6to4 主机 或 路 由 器 要 求 6to4 中 继 
路 由 器 有 能 力 将 全 球 单 播 (本 机 ) IPv6 地 址 转换 成 6to4 隧道 地 址 。 这 里 有 以 下 
三 种 方法 配置 中 继 路 由 器 .: 

1. 将 6to4 中 继 路 由 器 作为 目的 IPv6 网 络 地 址 的 下 一 跳 来 配置 路 由 器 。 

2. 利用 普通 的 路 由 协议 ,使 6to4 中 继 路 由 器 能 够 广播 路 由 路 线 给 IPv6 网 
络 。 当 广播 的 路 由 是 指向 迁移 网 络 或 者 内 部 IPv6 网 时 ， 可 使 用 这 种 方式 。 如 果 
说 纯 IPv6 网 络 ( 见 图 3-10) 是 “IPv6 网 络 ”， 那 么 下 面 的 默认 路 由 选项 可 能 是 
更 好 的 选择 。 

3. 配置 一 条 通过 6to4 中 继 路 由 器 访问 IPv6 网 络 的 默认 路 由 。 这 个 方法 可 能 
应 用 于 IPv6 网 络 的 连接 只 能 通过 组 织 内 部 的 IPv4 网 络 到 达 ， 或 者 这 些 组 织 内 几 
乎 没有 纯 IPv6 网 络 。 
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v6 源 地 址 =2002:c000:281:1::1 


v6 目标 地 址 =2001:db8:ac1::f0 


6to4 中 


主机 
IPv4 路 由 器 IPv4 地 址 = sist ome [pv6 地 址 = -306Fdbs acl:m 


6to4 
IPv4 地 址 =192. a 2.129 
6to4 HH HE=2002:c000:281:1::1 


图 3-10 6to4 主机 和 纯 IPv6 EDL (a 
D 原 书 误 为 6to 主机 。 一 一 译 考 注 
如 图 3- 10 左 端 所 示 ， 得 到 一 个 在 IPv4/1Pv6 网 络 上 的 6to4 主机 ， 这 个 主机 
的 6to4 地 址 是 基于 用 户 配 置 的 公共 IPv4 地 址 〈192. 0. 2. 129) 配置 的 。 该 主机 
还 必须 配置 路 由 或 者 默认 路 由 去 发 送 包含 6to4 全 全 全 (192. 88. 99. 1 ) 或 者 包 
含 6to4 中 继 路 由 的 IPv6 地 址 的 IPv6 数据 报 。 这 台 主 机 想 要 与 使 用 2001; db8: 
cl:: f0 地 址 在 纯 IPv6 网 络 上 的 主机 进行 通信 ， 如 图 右边 所 示 。 当 请 求 目的 主 
tt IP 地 址 时 ，DNS 返回 的 AAAA 资源 记录 包含 了 该 主机 的 IPv6 地 址 。 
因此 ， 在 左边 的 6to4 主机 生成 的 IPv6 数据 报 是 以 其 6to4 地 址 为 其 源 IP 地 址 ， 
以 IPv6 地 址 为 其 目的 地 址 。 然 后 主机 用 唯一 的 IPv4 地 址 作为 源 地 址 ， 用 对 应 的 
6to4 中 继 器 的 IPv4 地 址 作为 目的 地 址 来 包装 这 个 数据 报 ， 使 之 能 够 穿 透 IPv4 网 
络 。 当 6to4 中 继 路 由 器 的 数据 报到 达 时 ， 中 继 路 由 器 将 数据 报 发 送 到 2001: db8: 
cl:: /48 网 络 上 。 在 相反 方向 ， 使 用 原来 的 源 6to4 地 址 作为 目的 IPv6 地 址 ， 这 
样 可 以 通知 6to4 中 继 路 由 器 这 个 数据 报 需要 6to4 隧道 到 相应 的 目的 主机 。 
3.2.2.2 站 内 自动 隧道 寻 址 协议 
ISATAP 是 一 个 为 主机 到 路 由 器 、 路 由 器 到 主机 和 主机 到 主机 配置 实现 自动 
搭建 跨越 IPv4 网 络 的 IPv6 隧道 的 实验 性 协议 。ISATAP 的 IPv6 地 址 使 用 IPv4 地 
址 定义 它 的 接口 标识 符 。 这 个 接口 标识 符 由 :: 5efe: wxyz 构 成 ， 其 中 
w. x. yz 是 一 个 点 分 十 进 制 记 法 的 IPv4 地 址 。 所 以 一 个 对 应 于 192. 0. 2. 131 的 
ISATAP 接口 标识 符 记 为 :: 5efe: 192.0.2. 131。 使 用 IPv4 的 地 址 记号 法 可 以 明 
确 地 指示 出 ISATAP 地 址 中 所 包含 的 IPv4 地 址 ， 而 不 用 把 IPv4 地 址 转换 成 十 六 
进 制 的 形式 。ISATAP 接口 ID 可 当 作 是 一 个 普通 的 接口 ID， 可 以 把 它 添加 到 它 
所 支持 的 网 络 前 级 后 面 去 定义 一 个 IPv6 地 址 。 例 如 ， 应 用 了 上 述 ISATAP 接口 
ID 构成 的 IPv6 本 地 链 路 地 址 是 fe80:: 5efe: 192. 0.2. 131, 
支持 ISATAP 的 主机 需要 维护 一 个 潜在 路 由 器 列表 (Potential Router List, 
PRL) ， 该 列表 包含 了 每 一 个 可 以 广播 ISATAP 接口 的 路 由 器 的 IPv4 地 址 和 与 之 
相关 的 地 址 生命 周期 计时 器 。 通 过 IPv4 网 络 上 的 路 由 请 求 ，ISATAP 主机 从 本 地 
路 由 器 中 请 求 到 ISATAP 支持 信息 。 请 求 的 目的 端 需要 事先 在 主机 上 手动 配置 辩 
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别 标识 ， 或 者 是 通过 查找 DNS 中 有 主机 名 为 “isatap” 的 路 由 器 得 到 识别 ， 又 或 
者 是 使 用 DHCP 供应 商 特定 的 能 标识 出 ISATAP 路 由 器 IPv4 地 址 的 特殊 选项 进行 
鉴定 辨别 。DNS 技术 要 求 管 理 员 使 用 “isatap” 这样 的 主机 名 来 给 ISATAP 路 由 
器 创建 资源 记录 。 

一 台 ISATAP 主机 采用 了 图 3- 11 所 示 的 IPv4 头 部 去 封装 IPv6 数据 报 ， 其 中 
使 用 的 对 应 于 被 选 定 路 由 器 的 IPv4 地 址 可 从 PRL 中 得 到 。 

不 管 IPv4 地 址 是 静态 定义 的 还 是 通过 DACP 得 到 的 ，ISATAP 都 能 用 已 配置 
好 的 IPv4 地 址 去 自动 配置 它们 的 ISATAP 接口 ID。 如 果 配 置 了 IPv6， 微软 
Windows XP 系统 和 Windows 2003 服务 器 就 可 以 完成 这 样 的 自动 配置 。 微 软 
Windows Vista 和 Windows 7 系统 及 Windows 2008 服务 器 默认 支持 ISATAP 自动 配 
置 。ISATAP 接口 ID 可 被 添加 到 64 位 的 全 局 网 络 前 缀 和 子 网 标识 符 后 面 ， 由 被 
请 求 的 ISATAP 路 由 器 进行 路 由 广播 。 

如 图 3-11 所 示 ， 左 端的 主机 已 知 目的 主机 的 IP 地址， 此 例 中 用 的 是 IPv6 
地 址 。 


ISATAP 路 由 器 


10 4 地 址 =10.10.0.1 Pant 
ISATAP 地 址 = 2001. HA -Sefe 10.10.0.10" 地 POA hk ZOE abe) Ed 


IPv6 主 机 
v6 地 址 =2001:db8:0:1::ffal 


v6 源 地 址 =2001:db8::5Sefe:10.10.0.10 


EAE D007 db8: Sefer 10. 10.0.10 


目标 hit = 2001: abs: 0: 1::ffal v6 目标 地 址 =2001:db8:0:1::ffal 
v6 目标 地 址 =2001:db8:0:1::ffal 


13-11 ”ISATAP 主机 到 路 由 的 例子 


IPv6 数据 报 由 主机 构建 ， 使 用 本 主机 的 ISATAP IPv6 地 址 作为 源 地 址 ， 目 的 
IPv6 主机 的 地 址 作为 目的 地 址 。 这 个 数据 报 被 封装 在 IPv4 报头 ， 从 而 形成 一 个 
自动 隧道 。 隧 道 的 源 地 址 设置 为 ISATAP 主机 的 IPv4 地 址 ， 目 的 地 址 设置 为 
ISATAP 路 由 的 IPv4 地 址 ， 并 且 IP 头 部 中 的 协议 域 设 为 十 进 制 的 41 来 指明 这 是 
一 个 被 封装 的 IPv6 数据 报 。ISATAP 路 由 器 不 需要 和 主机 处 在 相同 的 物理 网 络 ， 
而 且 这 个 隧道 可 以 跨越 主机 和 ISATAP 路 由 器 之 间 IPv4 网 络 (0 跳 或 多 跳 )。 
ISATAP 路 由 器 除去 IPv4 头 部 后 ， 对 剩 下 的 IPv6 数据 报 进行 正常 的 IPv6 路 由 选 
择 以 送 往 目 的 主机 。 

目的 主机 会 使 用 源 主 机 的 ISATAP 地 址 向 源 主机 发 出 响应 。 因 为 ISATAP 地 
址 包含 了 一 个 全 局 唯一 的 网 络 前 级 / 子 网 ID ， 目 的 数据 报 会 被 发 往 提 供 隧 道 服 务 
的 ISATAP 路 由 器 。 通 过 处 理 接口 ID ， 本 地 的 ISATAP 路 由 器 可 以 提取 出 目的 主 
机 的 IPv4 地 址 ， 并 且 向 源 主机 发 出 用 IPv4 头 部 封装 的 IPv6 数据 报 。 图 3-11 中 ， 
从 右 到 左 ，ISATAP 路 由 器 可 以 构建 通 向 目的 主机 的 ISATAP 隧道 。 
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主机 到 主机 的 ISATAP 隧道 和 图 3-7 所 示 的 相似 ， 可 由 IPv4 网 络 上 的 ISATAP 
主机 发 起 来 构建 ， 条 件 是 本 地 链 路 (同一 个 子 网 ) 或 者 全 局 网 络 的 前 级 可 以 添加 
到 主机 的 ISATAP 接口 ID 的 前 面 。 如 图 3-7 所 示 ，ISATAP 地 址 是 分 别 由 IPv4 地 
hE A 和 DD 生成 的 IPv6 地 址 W 和 ZZ 。 
3.2.2.3 6over4 

6over4 是 一 个 利用 IPv4 多 播 的 自动 隧道 技术 。 对 于 Oover4, IPv4 多 播 是 必 
需 的 ， 它 被 认为 是 一 个 虚拟 链 路 层 或 虚拟 以 太 网 。 从 虚拟 链 路 层 的 角度 来 看 ， 
IPv6 的 地 址 是 由 本 地 链 路 范围 前 级 标识 的 (fe80:: /10)。 一 个 主机 的 IPv4 地 址 
包括 其 IPv6 地 址 中 6over4 接口 ID 的 部 分 。 例 如 ， 一 个 IPv4 地 址 为 192. 0. 2. 85 
的 Gover4 主机 的 IPv6 接口 ID 为 :: c000: 255， 因 此 ，6over4 的 地 址 为 fe80:: 
c000: 255, 6over4 隧道 可 以 是 包括 主机 - 主机 、 主 机 -路 由 器 、 路 由 器 - 主机 等 类 
别 。 在 各 种 情况 中 ， 主 机 和 路 由 器 都 需要 分 别 配 置 支持 60over4 。IPv6 数据 报 在 
隧道 中 使 用 IPv4 报头 相应 的 IPv4 多 播 地 址 。 该 多 播 组 的 所 有 成 员 都 会 收 到 隧道 
的 数据 报 ， 就 像 是 在 虚拟 链 路 层 中 一 样 ， 真 正 的 接收 者 会 去 除 掉 IPv4 报头 再 对 
IPv6 数据 报 进行 处 理 。 只 要 IPv4 多 播 能 达到 至 少 一 个 支持 6over4 的 IPv6 路 由 
器 ， 该 路 由 器 就 可 以 作为 隧道 端点 然后 通过 IPv6 路 由 数据 报 。 

6over4 支持 IPv6 多 播 和 单 播 ， 所 以 主机 可 以 执行 IPV6 路 由 器 和 “邻居 查 
找 ” 去 定位 IPv6 路 由 器 。 当 隧道 传输 IPv6 多 播 的 信息 时 ， 如 “邻居 查找 ”， 
IPv4 地 址 格式 化 为 239. 192. Y.Z, P, Y, ZÆ IPv6 多 播 的 最 后 两 个 字 节 地 
址 。 因 此 ，IPv6 报 文 的 所 有 路 由 器 的 链 路 范围 的 多 播 地 址 fo2::2， 将 通过 隧道 
送 至 IPv4 目的 地 239.192.0.2, 6over4 主机 可 使 用 网 络 组 会 员 协 议 (Internet 
Group Membership Protocol, IGMP) 来 告知 IPv4 路 由 需 关 于 多 播 组 成 员 的 信息 ， 
所 以 路 由 器 能 将 多 播 数据 报 转发 给 它们 。 
3.2.2.4 隧道 代理 

隧道 代理 是 另 一 种 IPv4 网 络 上 实现 隧道 自动 管理 的 技术 。 隧 道 代理 负责 管 
理 两 类 对 象 : 一 类 是 来 自 双 栈 客户 端的 隧道 请 求 ， 一 类 是 连接 着 目的 IPv6 网 络 
的 隧道 服务 器 。 想 要 连接 至 IPv6 网 络 的 双 栈 的 客户 端 被 有 选择 性 地 导向 一 个 隧 
道 管理 的 门户 网 站 去 进行 身份 认证 ， 认 证 通过 后 便 可 以 使 用 隧道 代理 服务 。 隧 
道 代 理 也 可 能 会 自己 管理 认证 和 授权 。 客 户 端 需要 提供 自己 的 IPv4 地 址 、 自 己 
想 要 的 FQDN, IPv6 地 址 的 请 求 数 、 自 己 的 类 型 ( 主机 还 是 路 由 器 ) 等 信息 。 

一 旦 验证 通过 ， 隧 道 代 理 就 会 执行 以 下 工作 去 创建 隧道 : 
1. 分 配 和 配置 一 个 隧道 服务 器 ， 并 告知 其 客户 端的 信息 。 
2. 根据 请 求 的 地 址 数量 和 客户 端 类 型 分 配 IPv6 地 址 或 前 缀 给 客户 端 。 
3. 在 DNS 上 注册 客户 端的 FQDN, 
4. 提供 分 配 的 隧道 服务 器 和 相关 的 隧道 及 IPv6 参数 (包括 地 址 /前 绥 ， 
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DNS 名 称 ) 等 信息 给 客户 端 。 

图 3-12 所 示 的 隧道 代理 的 交互 ， 说 明了 客户 端 - 隧道 代理 的 交互 过 程 。RFC 
5572 规范 化 了 隧道 建立 协议 (Tunnel Setup Protocol, TSP) 以 促进 隧道 建立 的 过 
程 和 组 件 之 间 的 交互 。 

隧道 代理 


"PVA fay eae » 


S 


IPv6 网 络 


隧道 客户 端 
隧道 服务 器 群 
IPV4 网 络 
C aa IPv6 网 络 
隧道 客户 端 


隧道 服务 器 群 
图 3-12 ”隧道 代理 的 交互 '” 


Teredo ”实现 穿 透 采 用 NAT 防火 墙 的 隧道 技术 是 很 难 的 ， 除 非 是 经 过 各 种 复 
杂 的 设计 。Teredo 为 通过 IPv4 的 IPv6 数据 报 提 供 基于 UDP 的 NAT 穿 透 ， 可 实 
现 主机 到 主机 的 自动 隧道 功能 。Teredo 通过 使 用 附加 的 UDP 报头 ， 使 得 NAT/ 防 
火 墙 之 间 的 传送 更 加 方便 。 很 多 NAT/ 防 火 墙 设备 是 不 允许 头 字 段 为 41 (前 面 提 
到 的 IPv6 的 数据 报 的 隧道 设置 ) 的 IPv4 数据 报 传输 的 。 这 个 附加 的 UDP 报头 
掩盖 了 这 些 ， 使 得 被 封装 的 IPv6 可 以 穿 透 NAT 防火 墙 设备 ， 这 种 UDP 端口 的 转 
换 ， 大 部 分 设备 都 可 以 支持 ( 见 图 3-13)。 

Teredo 在 RFC 4380 中 被 定义 ， 它 被 当 作 IPv6 连接 最 后 的 转换 技术 。 因 为 随 
着 6to4 及 支持 IPvw6 的 防火 墙 路 由 器 的 部 署 ， 它 的 应 用 将 越 来 越 少 。 如 图 3-14 所 
示 ，Teredo 需要 以 下 部 件 : 

(1) Teredo 客户 端 

(2) Teredo 服务 器 
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IPv6 报 头 TCP/UDP 数据 


~~ 


IPv4 报 头 UDP IPv6 报 头 TCP/UDP 数据 


3-13 Teredo 隧道 添加 UDP 和 IPv4 报头 '” 


(3) Teredo 中 继 

Teredo 过 程 : Teredo 客户 端 寻找 最 接近 目标 IPv6 主机 的 Teredo 中 继 ， 并 且 确 
认 NAT 防火 墙 的 类 型 。Teredo 中 继 是 一 个 为 目标 主机 服务 的 隧道 端口 。Teredo 主 
机 必须 提前 配置 好 Teredo 服务 器 的 IPv4 地 址 ， 以 有 利于 Teredo 连接 。 

为 了 检测 距离 最 近 的 Teredo 中 继 服 务 ， 需 要 发 送 一 个 IPv6 的 ping (ICMPv6 
的 Echo 请 求 ) 到 目标 主机 。Ping 被 封装 上 UDP 和 IPv4 报头 ， 发 送 至 Teredo 服 
FF tir, Teredo 服务 器 对 其 进行 解 封装 并 发 送 纯 ICMPv6 报 文 到 目的 地 。 目 的 主机 
的 响应 在 纯 IPv6 网 络 上 通过 路 由 发 送 到 最 近 的 Teredo 中 继 ， 然 后 再 返回 到 原始 
主机 。 以 这 种 方式 ， 客 户 端 凭借 响应 中 的 IPv4 和 UDP [隧道 ] 报头 判断 Teredo 中 
继 的 IPv4 地 址 和 端口 。Teredo 客户 端 通信 到 本 地 IPv6 主机 的 连接 如 图 3- 14 所 示 。 


隧道 服务 器 


S 


站 隧道 IPV6 网 络 
IPv6 主 机 


图 3-14 Teredo 客户 端 到 IPv6 主机 的 连接 31 


NAT 类 型 ”最 初 ，Teredo 旨 在 解决 穿 透 防火 墙 和 对 某 些 端口 设 限 的 NAT。 
RFC 6081 定义 了 Teredo 扩展 ,， 极 大 地 扩展 了 支持 穿 透 的 NAT 类 型 。 表 3-2 列 出 
了 在 REC 6081 中 Teredo 扩展 支持 的 NAT JEWO] 

表 3-2 REC 6081 中 Teredo 扩展 支持 的 NAT 类 型 
目的 地 址 的 NAT 


UPnP UPnP | 端口 保持 | 连续 端 


THEE | 地 址 受 限 | 端口 受 
BARJE | 地 址 受 限 新 口 受 限 端口 受 限 | 端口 对 称 | 端口 对 称 | 口 对 称 


端口 对 称 | 地 址 对 称 


圆锥 形 Yes Yes Yes Yes SNS SNS SNS SNS SNS 
地 址 受 限 Yes Yes Yes Yes SNS SNS SNS SNS No 
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( 续 ) 
目的 地 址 的 NAT 
UPnP | UPnP | 端口 保持 | 连续 端 
圆锥 形 | 地 址 受 限 | 端口 受 限 | o eS 端口 对 称 | 地 址 对 称 
Ym H 受 限 Mig H 对 称 Ymi H 对 称 m) 对 称 
端口 受 限 Yes Yes Yes Yes No SNS + PP | SNS + PP No No 
UPnP SNS + 
eee Yes Yes Yes Yes No No No No 
端口 受 限 UPnP 
UPnP SNS + SNS + 
R SNS SNS No No No No No 
端口 对 称 UPnP UPnP 
端口 保持 | SNS SNS |SNS+PP| No No |SNS+PP|SNS+PP| No No 
端口 对 称 
SNS SNS SNS +SS No No No No No No 
口 对 称 
端口 对 称 SNS SNS No No No No No No No 
地 址 对 称 SNS No No No No No No No No 
其 中 : 


© Yes 为 被 初始 的 Teredo 规范 支持 (RFC 4380) 。 

e SNS 为 被 对 称 NAT 扩展 支持 。 

© SNS + UPn 为 被 对 称 NAT 扩展 文 持 和 通用 即 插 即 用 (UPnP) 的 对 称 NAT 
扩展 支持 。 

© SNS + PP 为 被 对 称 NAT 扩展 支持 和 端口 保持 对 称 NAT 扩展 支持 。 

© SNS + SS 为 被 对 称 NAT 扩展 支持 和 连续 端口 对 称 NAT 扩展 支持 。 

© No 为 不 支持 。 

要 使 用 Teredo 通信 时 ，NAT 必须 “初始 化 ”以 正确 映射 那些 在 NAT 内 的 源 
地 址 和 目的 地 址 。 为 了 完成 NAT 上 关于 内 部 主机 与 目标 主机 之 间 通 信 的 映射 ， 
Teredo 客户 端 会 发 送 一 个 气泡 数据 报到 目的 主机 。 气 泡 数 据 报 是 没有 有 效 负载 
的 IPv6 报头 ， 本 身 封 装 在 Teredo 的 隧道 IPv4/UDP 头 中 。 它 使 NAT 可 以 完成 内 
部 地 址 和 外 部 IP 地 址 映射 ， 以 及 内 部 端口 号 和 外 部 端口 号 的 映射 。 
一 般 来 说 ， 气 泡 数据 报 是 直接 从 源 Teredo 客户 端 发 送 到 目的 主机 。 但 是 ， 
如 果 目 标 主机 位 于 防火 墙 后 面 ， 气 泡 数 据 报 可 能 会 被 竺 弃 ， 因 为 这 是 不 请 自 来 
的 外 部 数据 报 。 在 这 种 情况 下 ，Teredo 客户 端 会 超时 ， 然 后 通过 Teredo 服务 器 
来 发 送气 泡 数据 报 ， 这 个 数据 报 可 以 通过 Teredo 格式 的 IPv6 目的 地 址 来 识别 ， 

这 个 IPv6 地 址 包含 了 目标 主机 的 Teredo IPv4 地 址 。 然 后 Teredo 服务 器 将 Teredo 

数据 报 通过 隧道 转发 到 目标 主机 。 主 机 有 自己 的 IPv4 地 址 ， 这 个 地 址 也 被 编码 


uo 
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在 Teredo IPv6 地 址 中 。 

如 果 目 标 主机 也 是 一 个 Teredo 客户 端 ， 它 也 将 能 接收 到 数据 报 。Teredo 客 
户 端 通过 之 前 发 送 到 Teredo 服务 器 的 ping 请 求 完 成 Teredo 客户 端的 初始 化 配 
置 。 之 后 ， 目 标 主机 会 直接 向 源 主机 响应 ， 完 成 NAT 映射 (在 目标 主机 和 源 主 
机 双边 都 完成 映射 ) 。 如 图 3-15 所 示 ， 有 两 个 Teredo 客户 端 通过 一 个 共同 的 
Teredo 中 继 通信 。 


IPv4/IPv6 网 络 


Teredo 


服务 器 


Teredo% J” ži 如 ,因特网 
Dm 
= 中 继 


IPv4/IPv6 it 
Teredo 客 户 端 pe 
TE 


图 3-15 Teredo 客户 端 通过 IPv4 ARRE 


正如 已 经 看 到 的 ，Teredo 的 IPv6 地 址 由 客户 端 及 其 Teredo IRA ARHI IPv4 地 
址 来 生成 。 图 3-16 给 出 了 Teredo IPv6 地 址 格式 。 


0 31 32 63 64 79 80 95 96 127 


Teredo Teredo 服 务 器 IPv4 标志 ”客户 端 端口 客户 端 IPv4 


BIA (32 位 ) 地 址 (32 位 ) (16 位 ) (16 位 ) 地 址 (32 位) 


图 3-16 Teredo IPv6 地 址 格式 [1 


Teredo 的 前 级 是 一 个 预定 义 的 IPv6 AAR. 2001-: / 32, Teredo 服务 器 IPv4 
地 址 构成 下 一 个 32 位 。 虽然 RFC 5991 ( 即 本 书 参考 文献 [44] ) 将 原来 的 RFC 
4380 定义 的 标志 字段 重新 定义 了 ， 引 进 一 个 随机 字符 串 来 免 去 cone 位 的 设置 ， 
在 某 些 情况 下 它 仍 是 被 解释 的 。Teredo 标志 字段 格式 如 图 3-17 所 示 。 


C i 随机 位 1(4) U | G 随机 位 2(8) 


图 3-17 Teredo 标志 字段 格式 


© C =cone 位 


ez= 保 留 (设置 为 0) 
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© Randoml 为 随机 位 1 

e U = 全 局 /局 部 位 (设置 为 0) 

e G = 个 人 /全 局 位 (设置 为 0) 

e Random2 为 随机 位 2 

如 果 U 和 G 位 被 置 零 ， 可 以 表明 一 个 本 地 管理 的 单 播 地 址 和 随机 位 ， 以 阻 
Ik Teredo 的 IPv6 地 址 扫描 ， 即 使 对 应 的 IPv4 地 址 是 已 知 的 (对 于 一 个 给 定 的 
IPv4 地 址 映射 ，12 个 随机 位 可 以 提供 4096 种 组 合 的 Teredo 地 址 ) 。 客 户 端 端口 
与 客户 端的 IPv4 地 址 字段 通过 反 转 每 个 位 的 值 来 表示 这 些 字段 对 应 的 含义 。 


3.2.3 IPv6 网 络 上 的 IPv4 数据 报 的 隧道 方案 


启用 IPv6 后 ， 一 些 IPv6 用 户 仍旧 需要 与 IPv4 应 用 或 IPv4 网 络 上 的 主机 进 
行 通信 ， 如 因特网 。IPv4 Over IPv6 的 隧道 技术 为 这 种 通信 提供 了 一 种 实现 方法 。 
3.2.3.1 双 栈 过 渡 机 制 

DSTM ( 双 栈 过 渡 机 制 ) 是 一 种 可 以 在 IPv6 网 络 上 将 IPv4 数据 报 传输 到 目 
的 地 IPv4 主机 的 隧道 代理 方法 ， 如 图 3- 18 所 示 。IPv6 的 主机 如 果 需 要 与 IPv4 
主机 通信 时 ， 需 要 配置 双 协 议 栈 及 DSTM 客户 端 。 在 对 一 个 目的 主机 的 主机 名 
使 用 DNS 获得 其 IPv4 时 ， 客 户 端 会 开始 启动 DSTM 进程 。 这 与 隧道 代理 技术 十 


DSTM 服 务 器 


IPv6 网 络 
wer 


== 


IPVv4 网 络 


DSTM 客 户 端 


IPv4 主 机 


Q IP v4 pg zy 


DSTM 客 户 端 IPv4 主 机 


DSTM 网 关 


到 3-18 DSTM 隧道 设置 2 
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分 类 似 。 当 整个 进程 开始 ，DSTM 客户 端 联系 DSTM 服务 器 通过 DHCPv6 WNO 
以 获得 一 个 IPv4 地 址 ， 以 及 DSTM 网 关 的 IPv6 地 址 。IPv4 地 址 被 当 作 源 地 址 在 
数据 报 里 被 传送 。 这 个 数据 报 利 用 DSTM 客户 端 源 IPv6 地 址 和 DSTM 网 关 的 
IPv6 地 址 作为 目的 地 址 进行 封装 。 在 IPv6 报头 中 的 “下 一 头 部 ”字段 可 以 用 来 


表示 这 是 一 个 使 用 “4over6” 隧道 技术 封装 的 IPv4 分 组 。 


一 种 DSTM 的 变 体 可 以 支持 使 用 VPN 从 本 地 网 络 外 部 进行 访问 的 DSTM 客 
户 端 ， 如 在 家 工作 的 职员 。 在 这 种 情况 下 ， 假 设 DSTM 客户 端 获得 一 个 IPv6 地 
址 而 并 非 IPv4 地 址 ， 它 可 以 联络 DSTM 服务 器 以 获得 一 个 IPv4 地 址 ， 这 种 访问 
需要 认证 以 建立 DSTM 客户 端 与 DSTM 网 关 之 间 的 一 个 VPN。 
3.2.4 隧道 技术 总 结 

表 3-3 给 出 的 隧道 技术 总 结 , 
主机 能 力 / 网 络 类 型 、 目 标 地 址 解析 方式 及 网 络 类 型 等 。 
表 3-3 隧道 技术 总 结 


说 明了 各 种 隧道 技术 的 适用 对 象 ， 


分 别 基 于 源 


目标 网 络 IPv4 网 络 | IPv4 网 络 | IPvo 网 络 | IPv6 网 络 
IPv4 网 络 的 | 上 解析 成 IPw4 | 上 人 解析 成 IPv6 | 上 解析 成 IPv4 | 上 解析 成 IPv6| ”IPv6 网 络 的 
TPv4 目的 地 “| 地 址 的 双 协 议 | 地 址 的 双 协 议 | 地 址 的 双 协 议 | 地 址 的 双 协 议 |IPv6 目的 地 
源 网 络 栈 目的 地 “| 栈 目的 地 “| 栈 目 的 地 | 栈 目的 地 
IPv4 网 络 的 原生 IPv4 一 > 
" ve 原生 IPv4 原生 IPv4 N/A i N/A N/A 
IPv4 客户 端 IPv4 兼容 
Pu IPv4 网 络 — IPv4 网 络 | IPv4 网 络 上 
XxX] 22 TE — Me s M 
CO OCI 原生 IPA | BÆI | 上 主机 到 主机 ”| 上 主机 到 路 由 | 主机 到 路 由 
的 双 栈 客户 端 IPv4 兼容 
的 IPv6 * 的 IPv6* 的 IPv6 * 
原生 IPv6 一 
IPy6 网 络 | DSTM 一 原 ”DSTM 一 原 |IPv4 网 络 上 
ae DSTM 原生 IPv6 原生 IPv6 
的 双 栈 客户 端 | 生 IPv4 生 IPv4 路 由 器 到 主机 g mA 
的 IPv6 * 
IPv6 网 络 的 ee 
Ma N/A IPv4 网 络 上 | N/A 原生 IPv6 | 原生 IPv6 
IPv6 客户 端 
IPv6 * 
YE: * ”一 个 IPv6 地 址 可 以 是 原生 的 IPv6 地 址 或 一 个 6to4 、ISATAP Teredo, 6over4 或 IPv4 兼容 地 


址 ， 主 机 必须 基于 它 所 支持 


S 


虽然 DSTM RFC 草稿 ( 即 本 


但 是 DHCPv6 目前 并 不 定义 为 主动 或 通过 一 个 选项 设置 分 配 IPv4 地 址 。 


的 技术 选择 相应 的 目标 地 址 。 


参考 文献 【45] ) 表示 DHCPv6 是 获得 一 个 IPv4 地 址 的 更 好 的 方法 ， 
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表格 中 斜体 字 部 分 表示 端 对 端 设备 的 IP 版 本 。 任 何 使 用 不 同 协议 的 中 间 网 
络 ， 必 须 或 通过 一 个 路 由 器 到 路 由 需 的 隧道 或 在 边界 处 使 用 转换 技术 进行 转换 ， 
这 一 点 将 在 之 后 的 章节 介绍 。 

表 中 其 余部 分 表示 用 到 隧道 技术 的 各 种 场景 。 符 号 “一 ”代表 一 个 转换 点 
或 者 能 将 相应 本 地 网 络 协议 转换 为 隧道 协议 〈 反 之 亦 然 ) 的 隧道 端点 。 

表 中 “N/A” 部 分 表示 无 法 通过 隧道 建立 有 效 连接 ， 然 而 ， 转 换 技 术 可 能 
用 来 弥补 这 些 缺 陷 。 这 些 将 在 以 后 讨论 。 


3.3 翻译 策略 


从 IPv4 到 IPv6 的 翻译 (反之 亦 然 ， 是 在 协议 栈 的 特定 层 中 执行 ， 典 型 层 有 
网 络 层 、 传 输 层 或 者 应 用 层 。 与 不 修改 传输 的 数据 报 而 仅 是 添加 一 到 两 个 报头 
的 隧道 技术 不 同 ， 翻 译 机 制 做 的 是 修改 。 也 就 是 说 ,将 全 报 文 在 IPv4 和 IPv6 之 
间 转 化 。 当 使 用 IPv6- only 技术 的 节点 与 使 用 IPv4-only 技术 的 节点 需要 交换 数据 
的 时 候 ， 翻 译 策 略 通常 是 不 错 的 选择 。 也 就 是 说 ， 表 3-3 中 “N/A” 部 分 需要 
用 到 翻译 策略 。 在 双 协 议 栈 的 情况 下 ， 原 生 或 者 隧道 机 制 是 更 好 的 选择 。 

在 IPv6 规范 形成 阶段 ， 早 期 发 展 的 IPv4/1IPv6 翻译 方法 已 经 被 证 明 是 不 一 臻 
的 ， 并 且 在 大 多 数 场合 是 不 安全 的 。 基 于 前 车 之 鉴 ， 一 系列 新 的 RFC 的 发 布 明 
确 了 IPv4/1Pv6 的 翻译 方法 、 寻 址 与 一 致 性 的 策略 。RFC 6144 〈 即 本 书 参 考 文献 
[46]) 定义 了 IPv4/IPv6 翻译 的 框架 ， 并 且 明 确 了 这 种 翻译 策略 将 应 用 于 何 种 网 
络 互 连 的 环境 。 可 行 的 翻译 方法 ， 见 表 3-4。 其 中 ， 总 结 的 各 种 情况 所 对 应 使 用 
的 翻译 策略 都 是 有 指导 意义 的 。 每 种 情况 都 模拟 了 不 同 的 源 网 络 是 如 何 连接 到 
目标 网 络 的 ， 源 网 络 和 目标 网 络 可 能 是 私有 网 络 上 的 , 或 者 是 使 用 某 种 协议 的 
互联 网 络 中 的 一 台 主 机 。 


表 3-4 可 行 的 翻译 方法 '*] 


情景 | 源 网 络 目的 网 络 iG HH yi 
1 IPv6 网 络 JPv4 因特网 带 DNS64 的 无 状态 翻译 可 行 
2 IPv4 因特网 IPv6 网 络 带 特 殊 网 络 前 级 的 无 状态 翻译 可 行 
3 PAREN ed Hie iu 网 络 前 缀 和 DNS 中 有 可 翻译 的 IPv4 地 址 的 有 状态 翻 
译 可 行 
4 IPv4 网 络 IPv6 因特网 翻译 不 可 行 
5 IPv6 网 络 IPv4 网 络 类 似 情 景 1， 可 行 
6 IPv4 网 络 IPv6 网 络 类 似 情 景 2， 可 行 
T IPv6 因特网 IPv4 因特网 翻译 不 可 行 
8 TPv4 因特网 IPv6 因特网 翻译 不 可 行 
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情景 4 和 8 在 整个 因特网 范围 内 都 无 法 将 一 个 IPv6 地 址 唯一 地 翻译 为 一 个 
IPv4 地 址 。 情 景 3 是 可 行 的 ， 有 能 力 将 一 个 IPv4 网 络 的 地 址 压缩 成 一 个 IPv6 地 
址 的 前 级 。 情 形 7 在 整个 因特网 地 址 空间 上 不 具有 这 种 压缩 能 力 。 


3.3.1 IP/ICMP 翻译 


既然 已 经 介绍 了 IPv4/IPv6 翻译 可 行 的 情况 ， 现 在 就 来 探讨 翻译 的 技巧 吧 。 
将 IPv4 和 IPv6 数据 报 相互 转化 的 算法 是 在 RFC 6145 中 阐述 的 IPAICMP 转换 算 
法 ， 这 个 算法 实现 了 在 主机 或 网 关上 将 发 送出 去 的 IPv6 数据 报 的 报头 转换 为 
IPv4 报头 ， 将 接收 到 的 IPv4 报头 转换 为 IPv6 的 ， 反之 亦 然 。 可 以 认为 在 主机 上 
实现 的 翻译 算法 (如 “主机 泵 ”， 将 在 后 文 进行 描述 ) 与 网 关 起 相同 作用 ， 为 了 
简化 讨论 ， 这 里 主要 考虑 网 关 如 何 进 行 翻译 。 翻 译 的 过 程 涉 及 地 址 转换 、 数 据 
IRAH, ICMP 映射 还 有 IP 报头 字段 的 转换 。 
3.3.1.1 地 址 翻译 

地 址 翻译 在 RFC 6052 ( 即 本 书 参 考 文献 [48]) 中 被 定义 ， 并 且 可 应 用 于 
任何 需要 将 IPv4 地 址 与 IPv6 地 址 相互 转换 的 实体 ， 包 括 网 关 转 换 和 DNS64 服 
务 。 语 义 上 ， 一 个 转换 IPv4 的 IPv6 地 址 (IPv4- converted IPv6 address) 是 用 一 
个 IPv6 地 址 代表 一 个 IPv4 节点 ， 而 IPv4 可 翻译 的 IPv6 地 址 (IPv4- translatable 
IPv6 address) 则 是 为 了 进行 无 状态 地 址 翻译 将 一 个 IPv6 地 址 分 配给 一 个 IPv6 节 
点 。 其 前 级 就 是 翻译 过 程 的 输出 ， 而 后 级 则 是 代表 了 一 个 预先 映射 好 的 内 髓 
IPv4 地 址 的 IPv6 地 址 。 

两 者 都 有 着 一 样 的 格式 ， 由 一 个 级 联 32 位 IPv4 地 址 的 IPv6 前 缀 组 成 ， 并 
且 大 多 数 情况 下 跟 有 后 级 。 唯 一 需要 注意 的 是 ， 为 了 与 IPv6 寻 址 兼容 ，64 ~71 
位 (ID 的 第 1 个 八 位 组 ) 被 设 为 0， 并 且 指 定 了 第 70 位 作为 “通用 /本 地 ” 
(u) 标识 位 ， 第 71 位 作为 “个 人 / 群 组 ”(g) 标志 位 ， 这 些 位 置 为 0 则 表示 本 
地 执行 的 单 播 地 址 。 根 据 不 同 IPv6 前 缀 的 长 度 ， 可 以 将 IPv4 地 址 与 “U” 字 节 
(Byte) 插入 到 图 3-19 所 示 的 位 置 上 。 


IPv6 前 缀 (32) IPv4 地 址 (32) J(8 后 缀 (56) 


IPv6 前 缀 (40) IPv4 地 址 (24) ” U(8) IIPv4(8) JA (48) 


IPv6 前 级 (48) IPv4(16) | U(8) | IPv4(16) 后 织 (40) 


IPv6 前 缀 (56) TPv4(8) U(8) IPv4 地 址 (24) 后 级 (32) 


IPV6 前 缀 (64) IPv4 地 址 (32) 后 缀 (24) 


IPv6 前 缀 (96) IPv4 地 址 (32) 


到 3-19 IPv4 可 翻译 和 转换 IPv4 的 IPv6 地 址 格式 
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IPv6 前 缀 的 长 度 只 能 为 图 3-19 所 示 的 取 值 : 32, 40, 48, 56, 64 和 96 位 。 
96 位 的 前 缀 已 经 被 分 配给 64: ff9b:: /96， 因 为 它 只 能 代表 唯一 的 公共 IPv4 地 
址 并 且 通 常 只 应 用 于 组 织 的 翻译 服务 。 使 用 96 位 的 前 绥 必 须 保 证 U 字 节 全 为 0。 
例如 ， 可 以 在 一 个 64 位 前 级 的 后 面 添 加 32 个 0 从 而 获得 兼容 的 96 位 前 级 。 不 
过 ， 通 常 组 织 会 从 它们 指定 的 地 址 空间 中 分 配 一 个 前 绥 专 门 用 于 表示 可 翻译 的 
IPv4 地 址 ， 前 缀 比 总 共 分 配 到 的 地 址 多 8 位 (假如 在 256 位 的 地 址 空间 分 配 到 
48 位 ， 则 使 用 56 位 的 前 级 )。 如 果 这 一 地 址 前 级 还 未 在 网 络 上 进行 通告 的 话 ， 
要 将 这 地 址 前 绥 进 行 通告 。 翻 译 网 关 需 要 进行 配置 以 便 识 别 可 翻译 的 IPv4 地 址 
AUR, IF ELK IPv6 RLP ARHI IPv4 地 址 作为 目的 地 址 转换 为 IPv4 报 文 。 

例如 ， 考 虑 一 个 IPv4 地 址 为 198. 51. 100. 49 的 主机 ， 它 可 以 通过 一 个 配置 
好 的 翻译 网 关 ， 使 用 前 绥 2001: db8: 3a01: 4f00:: /56 变 成 可 到 达 的 IPv6 地 
址 。 将 IPv4 地 址 转换 为 十 六 进 制 得 到 633 : 6431， 在 保留 U 字 节 0 位 的 前 提 下 
添加 到 前 级 ， 可 以 得 出 这 个 可 翻译 的 IPv6 地 址 2001; db8: 3a01: 4fc6: 33; 
6431 : :。 如 图 3-20 所 示 ， 这 是 左 侧 主机 的 IPv6 地 址 。 它 在 DNS 中 的 可 达 性 可 以 
是 195.51.100.49 (A 条目), 也 可 以 是 2001: db8: 3a01: 4fc6: 33; 6431:: 
(AAAA 条 目 )。 同 样 的 ， 右 侧 拥 有 IPv4 地 址 192. 0. 2. 188 的 主机 也 可 以 用 IPv4 
转换 的 IPv6 地 址 2001: db8: 3a01: 4fc0: 0: 2be:; 表示 。 通 过 分 析 IPv4 主机 
的 信息 ， 左 边 的 主机 发 送 了 指定 的 报 文 到 2001: db8: 3a01: 4fc0: 0: 2be::。 
指定 到 2001: db8: 3a01: 4f00:: /56 的 报 文 被 路 由 到 NAT64 网 关 ， 就 是 它 起 到 
了 本 章 描述 的 IP/ICMP 转换 的 功能 ， 以 及 IPv6 地 址 与 IPv4 地 址 的 相互 映射 。 如 
果 右 侧 的 主机 是 双 协 议 栈 并 且 可 通过 IPv6 直达 ， 翻 译 功 能 就 会 被 忽略 ， 该 功能 
只 有 在 没有 原生 协议 存在 的 时 候 才 会 应 用 。 


HP 
IPv4 主机 
IPv4 地 址 =192.0.2.188 
v6 源 地 址 =2001:db8:3a01:4fc6:33:6431:: 1 v4 源 地 址 =1955110049 l 
V6 目标 地 址 =2001:db8:3a01:4fc0:0:2be:: H v4 目标 地 址 =192.0.2.188 | 


Al3-20 IP/ICMP 翻译 例子 


3.3.1.2 数据 报 分 段 

数据 报 分 段 可 以 将 一 个 大 数据 报 分 成 两 个 甚至 更 多 的 小 数据 报 ， 从 而 使 其 
通过 最 大 传输 单元 (Maximum Transmission Unit, MTU) 比 自身 长 度 小 的 中 间 网 
络 。 在 IPv4 中 ， 需 要 的 话 ， 路 由 器 可 以 起 到 数据 报 分 段 的 功能 ， 而 在 IPv6 中 ， 
数据 报 分 段 由 节点 单独 完成 ， 而 不 是 路 由 器 。IPv6 主机 在 进行 传输 前 ， 为 相应 
大 小 的 数据 报 寻 找 合适 的 最 小 MTU 路 径 。 主 机 给 目的 地 传输 数据 报 的 时 候 ， 首 
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先 假设 线路 的 MTU 与 本 地 连接 的 MTU 相等 ;如果 中 间 某 一 跳 的 MTU 比 数据 报 
小 的 话 ， 一 条 关于 “数据 报 太 大 ”的 ICMPv6 错误 信息 就 会 发 送 回 主机 ， 表 明 这 
是 一 条 无 效 连接 。 主 机 可 能 会 根据 相应 的 MTU 大 小 调整 数据 报 大 小 ; 如 果 在 传 
输 过 程 中 遇 到 更 小 的 MTU， 这 个 步骤 将 会 重复 执行 。IPv4 节点 也 可 以 通过 发 送 
所 需 的 MTU 数据 报到 目的 地 完成 MTU 路 径 发 现 ， 不 过 因为 在 IPv4 中 路 由 器 可 
能 会 自动 将 大 的 数据 报 分 段 ， 主 机 可 以 在 主 IPv4 报头 设置 “不 分 段 ” (Don’t 
Fragment DF) 位 来 禁用 数据 报 分 段 。IPv6 的 情况 也 类 似 ， 在 传输 过 程 中 ， 如 果 
数据 报 大 小 超过 了 MTU ， 检 测 到 该 情况 的 路 由 器 将 会 给 主机 发 送 一 条 “需要 分 
段 ” 的 ICMP 错误 信息 。 

当 翻译 器 接收 到 设置 了 DF 位 的 IPv4 数据 报 并 且 下 一 个 MTU (或 者 IPv6 的 
下 一 跳 收 到 “数据 报 太 大 ”的 ICMP 信息 ) 小 于 IPv4 数据 报 大 小 +20 (考虑 到 
IPv6 报头 增长 的 大 小 ) ， 一 条 “需要 分 段 ” 的 ICMP 信息 将 会 被 发 送 到 源 IPv4 地 
tk, WR DF 位 没有 被 设置 ,但 是 数据 报 大 小 超过 了 下 一 个 或 下 一 跳 的 MTU， 翻 
译 右 就 会 将 数据 报 分 段 。 如 果 数 据 报 小 于 MTU， 翻 译 器 也 可 能 根据 配置 添加 一 
个 分 段 报头 ， 仅 为 了 表明 分 段 是 允许 的 。 如 果 DF 位 被 设置 了 ， 除 非 MTU 对 于 
要 发 送 的 数据 报 足 够 大 ， 否 则 永远 不 要 添加 分 段 报头 。 

当 翻 译 器 将 接收 到 的 IPv6 数据 报 转换 为 IPv4 时 ， 它 默认 会 设置 DF 位 。 如 
果 接 下 来 接收 到 “需要 分 段 ”的 ICMP 信息 作为 回复 ， 它 就 会 进而 翻译 “数据 
报 太 大 ”的 ICMPv6 信息 并 且 把 它 发 送 回 原始 的 IPv6 主机 。 原 始 主机 不 需要 使 
用 数据 报 小 于 1280 字 节 的 最 小 IPv6 MTU, 但 是 它 会 转发 带 有 分 段 报头 的 数据 
报 ， 翻 译 器 将 会 给 每 个 传输 到 IPv4 目的 地 的 报头 设置 标识 值 。 在 这 种 情况 下 ， 
不 设置 DF 位 表明 下 一 个 IPv4 分 段 是 允许 的 。 
3.3.1.3 ICMP 翻译 

在 接 下 来 描述 的 IP 报头 翻译 过 程 中 ，IPv6 下 一 个 报头 ICMPv6 的 值 (58) 
对 应 于 IPv4 协议 中 ICMP 的 值 (1) 。 实 际 的 ICMP 报头 的 值 必须 与 接受 者 协议 的 
版 本 一 致 。 表 3-5 给 出 了 ICMPv4 到 ICMPv6 消息 类 型 的 翻译 。 


# 3-5 ICMPv4 到 ICMPv6 消息 类 型 的 翻译 


ICMPv4 消息 类 型 翻译 的 ICMPv6 消息 类 型 
回 显 (8) 和 回复 (0) 回应 请 求 (128) 和 回应 答复 (129) 
ICMP 路 由 通告 /请 求 (9，10) ICMPv6 已 废弃 
时 间 戳 和 时 间 戳 回应 (13, 14) ICMPv6 已 废弃 
言 息 请 求 /回复 (15, 16) ICMPv6 已 废弃 
也 址 掩 码 请 求 / 回 复 (17，18 ) ICMPv6 已 废弃 
ICMP 消息 抛弃 
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( 续 ) 
ICMPv4 消息 类 型 翻译 的 ICMPv6 消息 类 型 
a 目的 地 不 可 达 (1), Code =0 (没有 到 
Code 0, 1 (网 络 ， 主 机 不 可 达 
eee a 达 目 的 地 的 路 由 ) 
ICMPv6 参数 问题 (4), Code = 1 (无 法 
Code 2 (协议 不 可 达 
E 识别 下 个 报头 类 型) 
g K$ KAJ (1 ode =4 (端口 不 
Code 3 《端口 不 可 达 ) 目的 地 不 可 达 (1), Code (端口 不 
可 达 ) 
数据 报 太 2) ，Code =0， 调 整 最 
Code 4 (需要 分 段 数据 报 ， 设 置 DF 位 ) es Wd 
输 单 元 
Fl 目的 地 不 可 达 (1) Code =0 (没有 到 达 
下 Code 5 (W AM 
的 目的 地 的 路 由 ) 
地 
不 Code 6, 7, 8 (未 知 目的 网 络 ， 未 知 目的 主机 ， 目的 地 不 可 达 (1) Code =0 (没有 到 达 
可 源 主 机 被 隔离 ) 目的 地 的 路 由 ) 
达 目的 地 不 可 达 (1), Code=1 (与 目的 
Code 9, 10 (与 目的 主机 /网 络 的 通信 被 禁 S 
e (与 目的 主机 /网 络 的 通信 被 禁止 ) 地 通信 被 禁止 ) 
Code 11, 12 (由 于 服务 类 型 导致 目的 网 络 /主机 目的 地 不 可 达 (1) Code =0 (没有 到 达 
不 可 达 ) 目的 地 的 路 由 ) 
目的 地 不 可 达 (1)，Code =1 (与 目的 
Code 13 (通信 被 禁止 
Om 地 通信 被 禁止) 
Code 14 (主机 越权 ) UF 
目的 地 不 可 达 (1)，Code =1 (与 目的 
Code 15 (优先 中 断 
aks 地 通信 被 禁止) 
报 源 抑制 (4) ICMPv6 已 废弃 
重 定向 (5) 抛弃 
选择 主机 地 址 (6) 抛弃 
超时 (11) 超时 (3), ， 有 相同 代码 值 
= Code =0 ( 遇 到 错误 头 字段 ) 并 且 
Code 0 (指针 显示 错误 参 
alae ge | 更 新 指针 值 或 地 弃 (HER 3-6) 
Code 1 (缺少 必要 的 选项 ) 问 抛弃 
a 题 Code =0 ( 遇 到 错误 头 字段 ) 并 且 
ode TAL jase 
(12) = (4) | 更 新 指针 值 或 抛弃 GRK 3-6) 
其 他 代码 值 或 未 知 的 ICMP v4 类 型 抛弃 


对 于 参数 问题 的 错误 信息 ， 报 头 指 针 值 的 翻译 见 表 3-6。 
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表 3- 


6 ICMPv4 到 ICMPv6 报头 指针 值 的 翻译 


ICMPv4 指针 值 翻译 的 ICMPv6 指针 值 


版 本 /IP 报头 长 度 (0) 


版 本 /流量 类 型 (0) 


服务 类 型 (1) 


流量 类 型 /流标 签 (1) 


总 长 度 (2, 3) 


负载 长 度 (4) 


标志 位 (4，5) ， 标 识 /分 害 
和 (10, 11) 


Wt (6, 7), RARI 
IME (6, 7), RABI Hz 


生存 时 间 (8) 


跳 数 限制 (7) 


协议 (9) 


下 一 个 报头 (6) 


源 地 址 (12 ~15) 


源 地 址 (8) 


目的 地 址 (16 ~19) 


日 的 地 址 (24) 


ICMPv6 校 验 和 的 计算 必须 在 进行 完整 的 翻译 过 程 之 后 。ICMP 错误 的 有 效 
负载 可 能 会 导致 翻译 问题 ， 特 别 是 当 其 中 包含 了 另 一 种 协议 的 IP 地址。 如果 附 
加 的 下 报头 也 是 返回 的 错误 信息 的 一 部 分 ， 翻 译 网 关 通 常会 企图 翻译 这 个 附加 


的 卫 报 文 头 。 


表 3-7 总 结 了 ICMPv6 到 ICMPv4 消息 类 型 的 翻译 。 


表 3-7 ICMPv6 到 ICMPv4 消息 类 型 的 翻译 


ICMPv6 消息 类 型 翻译 的 ICMPv4 消息 类 型 


回 显 请 求 (128) 和 回复 (129) 可 显 (8) 和 回复 (0) 


多 播 监视 器 发 现 查 询 ， 报 告 ， 结 束 (130, 131, 132) 通常 本 地 连接 ， 抛 弃 


邻居 发 现 消息 (133 ~ 137) 


通常 本 地 连接 ， 抛 弃 


目 | Code 0 (没有 路 径 到 达 目 的 地 ) 日 | Code=1 (主机 不 可 达 ) 


的 ie 的 | Code=10 (与 目的 网 络 /主机 的 通信 被 
地 Code 1 (与 目的 地 的 通信 被 禁止 ) 地 BD a f 

人 不 |。 Code2 (超过 源 地 址 范围 ) 不 | Code =1 (主机 不 可 达 ) 

可 可 

达 Code 3 (地 址 不 可 达 ) 达 Code =1 (主机 不 可 达 ) 

(1) Code 4 (端口 不 可 达 ) (3) Code =3 (端口 不 可 达 ) 


目的 地 不 可 达 (3), Code =4 (需要 分 段 数 


HAR) 据 报 ,设置 DF 位 ) 

超时 (3) 超时 (11) ， 有 相同 的 代码 
参 a ee. 参 Code =0 ( 遇 到 错误 头 字段 ) 并 且 更 新 
数 Code 0 ( 遇 到 错误 头 字 段 ) 数 | 指针 值 或 抛弃 GEK 3-8) 
问 wa se soa 问 目的 地 不 可 达 (3), Code =2 (协议 不 
是 Code 1 ( 遇 到 无 法 识别 下 个 报头 类 型 ) 题 | 可 达 ) 
(4) Code 2 (过 到 无 法 识别 IPvw6 选项 ) (12) “抛弃 


其 他 代码 或 未 知 的 ICMPv6 类 型 es 
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对 于 参数 问题 的 错误 信息 ， 报 头 指针 值 的 翻译 见 表 3-8。 
表 3-8 ICMPv6 到 ICMPv4 报头 指针 值 的 翻译 


ICMPv6 指针 值 翻译 的 ICMPv4 指针 值 


版 本 /流量 类 型 (0) 版 本 /IP 报 文 头 长 度 (0) 


流量 类 型 /流标 签 (1) 服务 类 型 (1) 
流标 签 (2, 3) 抛弃 

负载 长 度 (4, 5) 总 长 度 (2) 
下 一 个 报头 (6) 协议 (9) 
跳 数 限 制 (7) 生存 时 间 (8) 
源 地 址 (8 ~23) 源 地 址 (12) 
目的 地 址 (24 ~39) 目的 地 址 (16) 


ICMPv4 校 验 和 的 计算 也 必须 在 进行 完整 的 翻译 过 程 之 后 。ICMP 错误 的 
有 效 负 载 可 能 会 导致 翻译 问题 ， 特 别 是 包含 了 另 一 种 协议 的 耳 地 址 。 如 果 
附加 的 IP 报头 也 是 返回 的 错误 信息 的 一 部 分 ， 翻 译 网 关 通 常会 企图 翻译 这 
个 附加 的 IP 报头， 如果 IPv6 地 址 超出 了 分 配 的 可 转换 的 IPv4 地 址 空间 ， 就 
会 无 法 实现 。 
3.3.1.4 IP 报头 翻译 

IP 报头 的 翻译 过 程 应 用 于 每 个 数据 报 以 下 字段 映射 。 双 向 翻译 的 字段 映射 
都 总 结 如 下 : 


IPv4 一 IPv6 报头 翻译 


IPv6 一 IPv4 报头 翻译 


版 本 =6 
流量 类 型 = IPv4 报头 TOS 位 数 或 翻译 器 配置 值 
流标 签 =0 


负载 长 度 =IPv4 报头 总 长 度 -(IPv4 报头 长 度 + 
IPv4 选项 长 度 ) 


下 个 报头 = IPv4 报头 协议 字段 值 [将 ICMP (1) 
改 成 ICMPv6 (58) ] 


跳 数 限制 = IPv4 生存 时 间 -1 


版 本 =4 

报头 长 度 =5 (没有 IPv4 选项 ) 

服务 类 型 = IPv6 报头 流量 类 型 字段 或 翻译 器 
配置 值 


总 长 度 = IPv6 报头 负载 长 度 + IPv4 报头 长 度 
id =0 


标识 = 不 要 分 段 =1， 更 多 分 段 =0 (除非 
IPv6 数据 报 有 一 个 分 段 的 报 文 头 表 明 人 允许 分 段 ) 

分 段位 移 =0 
生存 时 间 = IPv6 跳 数 限制 -1 

协议 = IPv6 下 个 报头 字段 ; ICMPv6 (58) 改 
成 ICMP (1) 并 且 IPv6 报头 逐 跳 (0), IPv6 路 
HH (43), IPv6 标志 ， 还 有 IPv6 选项 (60) 由 
于 不 适合 Pr 被 舍弃 
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( 续 ) 

IPv4 一 IPv6 报头 翻译 IPv6 一 IPv4 报 文 头 翻译 
报头 校 验 和 = 通过 最 新 的 IPv4 报头 计算 

YR IP Hah = 相关 IPv6 前 级 和 源 IPv4 地 址 基础 上 源 耳 地址 = 从 了 IPv4 可 翻译 的 IPv6 地 址 推导 
的 IPv4 可 翻译 的 IPv6 地 址 的 IPv4 地 址 ， 这 个 IPv6 地 址 落 在 IPv6 可 翻译 
的 前 级 ; 或 映射 的 IPv6 地 址 ， 这 个 IPv6 地 址 基 
于 翻译 器 的 有 状态 地 址 映射 〈 绑 定 信息 库 
目的 耳 地 址 = 从 目的 TPv4 地 址 (无 状态 ) 推导 的 HKJ IP Hehi = IPv4 转换 的 IPv6 目的 地 址 的 
IPv4 可 翻译 的 IPw 地 址 ; 或 映射 的 IPv6 地 址 ， 这 个 | IPv4 部 分 
IPv6 地 址 基于 翻译 器 的 有 状态 地 址 映射 ( 绑 定 信息 库 ) 选项 = 无 


ji 
Se 


现在 来 看 看 一 些 利 用 了 IP/ICMP 翻译 算法 的 用 于 翻译 TP v4 和 IPv6 数据 报 的 
技术 。 
3.3.2 ELF 


主机 泵 (Bump In the Host, BIH) 是 一 种 基于 主机 的 IPv4ZIPv6 翻译 技术 ， 
让 一 台 运 行 IPv4 应 用 的 主机 可 以 与 IPv6- only 的 主机 通信 。 概 念 是 在 任何 底层 的 
IPv6 通信 的 技术 中 屏蔽 IPv4 应 用 。BIH 应 用 的 IPv4 应 用 类 别 ， 包 括 那些 使 用 
DNS 的 地 址 解析 和 不 在 应 用 协议 数据 域 中 使 用 P 地 址 的 应 用 。RFC 6535 (BAS 
书 参考 文献 [49] ) 中 指出 ，BIH 不 推荐 在 与 DNS64 的 连接 中 使 用 ， 它 会 导致 
双重 协议 转换 ， 只 有 在 原生 双 协 议 栈 或 隧道 不 能 使 用 的 时 候 推荐 使 用 。 

BIH 是 堆栈 泵 (Bump In the Stack, BIS'*!) 技术 和 API Æ (Bump In the 
API, BIA) 技术 组 合 的 继任 者 。 同 样 的 ， 它 既 可 以 像 BIS 一 样 在 网 络 层 转换 
IP 数据 报 ， 也 可 以 像 BIA 一 样 在 应 用 程序 接口 或 套 接 字 层 中 转换 。 

API (ERF) 层 策略 ， 有 两 种 架构 ， 可 二 择 其 一 ,在 IPv4 和 IPv6 的 API 
之 间 转 换 ， 或 在 应 用 和 主机 上 的 传输 层 栈 中 执行 。BIH 基于 套 接 字 的 体系 结构 
如 图 3-21 所 示 ， 由 API 转换 项 、 地 址 映射 器 、 扩 展 名 解析 器 和 函数 映射 器 组 成 。 

当 IPv4 应 用 发 送 DNS 查询 目的 主机 的 IP 地 址 时 ， 扩 展 名 解析 器 会 拦截 该 查 
询 并 且 生 成 一 个 额外 的 要 求 AAAA 记录 的 查询 。A 记录 查询 的 DNS 回复 会 提供 
给 定 的 IPv4 地 址 的 API 查询 的 答案 。 由 于 仅 有 AAAA 记录 的 解析 ， 这 使 扩展 名 
解析 器 从 地 址 映射 器 请 求 IPv4 地址。 域名 解析 器 利用 映射 的 IPv4 地 址 产生 A 记 
录 通 过 API 回复 应 用 。 地 址 映射 器 维护 IPv6 地 址 到 那些 从 私有 地 址 空间 组 成 的 
内 部 地 址 池 的 IPv4 地 址 的 映射 。 函 数 映 射 器 拦截 API eR CA DAA, 并且 匹配 
IPv4 API 调用 到 IPv6API 调用 ， 然 后 返回 IPv4 API 调用 回复 作为 结 

网 络 层 的 方法 侦查 TCPZIPv4 模块 和 连接 层 设备 (如 网 卡 ) 之 间 的 数据 流 ， 
并 且 将 IPv4 数据 报 转换 成 IPv6 格式 。BIH 网 络 层 体系 结构 如 图 3-22 所 示 。 


第 3 章 IPv4/IPv6 共存 技术 69 


TCP/IPv6 TCP/IPv4 
数据 链 路 层 
物理 层 


图 3-21 BIH 基于 套 接 字 的 体系 结构 


IPv4 应 用 


TCP/UDP 


数据 链 路 层 


物理 层 


Al3-22 BIH 网 络 层 体系 结构 


翻译 器 组 件 根 据 前 面 描述 的 IP/ICMP 翻译 算法 ,将 IPv4 报头 转换 成 IPv6 报 
头 。 扩 展 名 解析 器 侦 听 A 记录 类 型 的 DNS 查询 ; 一旦 侦 听 到 这 样 一 个 查询 ， 扩 
展 名 解析 器 组 件 就 产生 一 个 AAAA 记录 类 型 的 查询 给 该 主机 域名 (Qname) 和 
级 别 (Qelass)。 如 果 没 有 从 AAAA 记录 查询 收 到 肯定 的 回复 ， 接 下 来 的 通信 就 
会 使 用 IPv4; 如 果 AAAA 记录 查询 被 成 功 解析 ， 扩 展 名 解析 器 就 会 命令 地 址 映 
射 絮 组 件 将 返回 的 IPv4 地 址 (A 记录 ) 和 返回 的 IPv6 地 址 (AAAA 记录 ) 关联 
起 来 。 如 果 仅 收 到 AAAA 记录 的 响应 ， 地 址 映射 器 就 会 从 私有 IPv4 地 址 的 内 部 
地 址 池 中 分 配 IPv4 地 址 。 

由 于 需要 一 个 IPv4 地 址 为 应 用 请 求 A 记录 查询 的 结果 提供 响应 。 因 此 ， 地 址 映 
射 器 维护 着 真实 或 手动 分 配 的 IPv4 地 址 与 目的 地 的 IPv6 地 址 之 间 的 对 应 关系 。 任 何 
定位 到 该 IPv4 地 址 的 数据 报 将 会 被 翻译 器 转换 成 IPv6 数据 报 通 过 IPv6 网 络 传输 。 

映射 一 个 给 定 的 IP 地 址 到 主机 域名 的 PTR 记录 请 求 可 采用 BIH 的 方式 处 
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HE, PTR 调用 /查询 会 被 拦截 检查 ， 如 果 对 应 的 TP 地 址 已 经 被 地 址 映射 器 映射 的 
话 ， 就 会 产生 一 个 对 于 对 应 IPv6 地 址 PTR 查询 ， 主 机 域名 结果 会 被 关联 到 初始 
的 请 求 。 

BIH 的 套 接 字 版 本 ， 对 DNS 查询 的 DNSSEC 验证 是 原生 支持 的 ， 这 是 因为 
套 接 字 调 用 仅 请 求解 析 的 结果 ， 并 且 验 证 是 在 解析 器 /网 络 层面 上 处 理 。 网 络 层 
上 的 支持 需要 在 扩展 名 解析 器 上 配置 密 钥 才能 保证 能 够 验证 DNSSEC 的 响应 。 

如 果 从 没有 被 地 址 映射 的 外 部 主机 发 出 的 IPv6 数据 报 被 BIH 主机 接收 ， 地 
址 映射 器 就 会 从 内 部 地 址 池 分 配 IPv4 地 址 并 且 将 IPv6 报头 转换 成 IPv4。 


3. 3.3 IPv6/IPv4 的 网 络 地 址 翻译 


RFC 6146 ( 即 本 书 参 考 文献 [52]) 中 定义 了 IPv6/1Pv4 的 网 络 地 址 翻译 
(Network Address Translation for [Pv6/IPv4, NAT64) 及 其 状态 功能 操作 。NAT64 能 
LE IPv6 主机 向 IPv4 主机 发 起 连接 ， 但 是 不 支持 反 向 建立 连接 ， 除 非 NAT64 网 关中 
已 经 配置 好 IPv4/IPv6 的 地 址 映射 。NAT64 使 用 网 络 地 址 和 端口 转换 方法 (Net- 
work Address and Port Translation, NAPT) 来 转换 IPv4 地 址 。 这 种 方法 能 通过 区 分 
TCP/UDP 端口 号 让 一 个 IPv4 地 址 映射 到 多 个 IPv6 地 址 。 例 如 ， 一 个 IPv6 地 址 为 
2001: db8:: 1、 端 口号 为 4040 的 主机 发 送 一 个 UDP/IP 数据 报 ， 可 能 会 被 NAT64 
的 网 关上 映射 到 IPv4 地 址 为 192. 0. 2. 31 、 端 口号 为 1024 ， 而 另 一 个 IPv6 主机 使 用 地 
址 2001: db8:: 2、 端 口号 3701 则 被 映射 到 地 址 192. 0.2. 31 、 端 口号 1025。 这 种 
协议 映射 信息 被 存储 在 一 个 绑 定 信息 基地 ( Binding Information Base, BIB) , 其 中 
的 三 种 协议 信息 都 是 动态 维护 的 : TCP, UDP 还 有 ICMP (ICMP 标识 符 是 关联 地 
址 而 不 是 端口 号 的 ) 。 同 样 的 三 张 会 话 表 ， 对 每 一 个 协议 都 进行 维护 ， 根 据 IPv4 或 
IPv6 的 源 或 目的 地 址 和 端口 号 追踪 每 个 对 话 。 如 图 3-23 所 示 (对 图 3-20 稍微 做 了 
些 修改 ) ， 例 中 添加 了 端口 号 ， 用 p = (port) 在 每 一 个 数据 报 中 表示 。 如 果 是 一 个 
TCP 会 话 ， 那 么 TCP BIB 就 会 包含 : 


v6 源 地 址 =2001:db8:3a01:4fc6:33:6431::p=1911 全 v4 源 地 址 =192.51.100.49 p=3931 
v6 目标 地 址 =2001:db8:3a01:4fc0:0:2bc::p=80 中 v4 目标 地 址 =192.0.2.188.p=80 


图 3-23 NAT64 协议 和 地 址 转换 


(2001 :db8 :3a01 :4fc6:33 :6431 ::,1911)<(195 :51:100:49 ,3931 ) 
HH TCP 会 话 也 将 会 跟踪 这 个 人 口 : 
(2001 .db8 :3a01 .4fc6 :33 :0431 S55 1911 ) 3 (2001 - db8 :3a01 :4fc0 :0.2bc 
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80)&(195 :51 :100 :49 ,3931) ,(192;0:2:188; ,80) 

因此 在 这 基础 上 ，NAT64 执行 两 个 功能 : 根据 前 面 章节 讨论 的 进行 IPAICMP 协 
议 转换 和 地 址 转换 去 映射 人 站 和 出 站 的 地 址 。 地 址 转换 需要 NAT64 网 关 维 护 两 个 地 
址 池 : 一 个 是 在 IPv6 网 络 用 IPv6 地 址 池 表 示 IPv4 地 址 ， 另 一 个 是 在 IPv4 网 络 用 
IPv4 地 址 池 表 示 IPv6 地 址 。IPv6 地 址 池 由 前 面 讨论 的 IP/ICMP 转换 分 配 的 前 级 组 
成 ， 如 对 于 前 面 讨论 的 例子 为 2001; db8: 3a01: 4f00:: /56。IPv4 地 址 池 是 公有 
IPv4 地 址 的 分 配 ， 这 些 地 址 被 用 来 为 IPv6 主机 创建 IPv4 连接 ， 前 面 的 例子 则 是 
195. 51. 100. 0/24。 接 下 来 将 讨论 NAT64 和 DNS64 之 间 的 关系 。 
3.3.3.1 NAT64 和 DNS64 

正如 刚才 讨论 到 的 ，NAT64 使 用 本 章 前 面 介绍 的 IP/ICMP 翻译 手段 将 IPv6 
数据 报 翻译 为 IPv4 数据 报 ， 通 过 添加 可 选 的 有 状态 组 件 ， 可 实现 与 被 转换 的 
IPv4 地 址 无 关 的 IPv4/TPv6 映射 处 理 。 使 用 无 状态 或 者 有 状态 的 翻译 可 以 使 IPv6 
主机 与 IPv4 目的 地 通信 。 

这 个 策略 的 关键 是 DNS64 组 件 ， 它 是 一 个 特殊 的 递归 DNS。 通 常 ， 它 执行 
AAAA 记录 的 查询 并 且 传 递 IPv6 地 址 的 有 效 响 应 ; 但 是 ， 当 AAAA 记录 的 响应 
失败 的 话 ， 它 会 执行 A 记录 的 查询 ， 以 便 在 缺失 有 效 IPv6 地 址 的 时 候 ， 能 试图 
识别 出 IPv4 目的 地 址 。 如 果 一 个 有 效 的 A 资源 记录 集 被 DNS64 接收 ， 它 就 会 用 
与 前 面 描 述 过 的 IP/ICMP 翻译 算法 类 似 的 方法 表示 出 包含 IPv4 转换 的 IPv6 地 址 
的 AAAA 查询 结果 ， 并 且 发 送 到 解析 器 。DNS64 解析 过 程 如 图 3-24 所 示 。 


IPv6 主 
2001 dbs sony 


机 DNS54 受权 的 DNS NAT64 
4fc6:33:6431:: sit 服务 器 
NS 查询 :qtype=AAAADNS 栓 询 :qtype=AAAA 
qname=host.example.com lqname=host. example com | 
DNS 响 应 :NXDOMAIN| 
DNS 查询 :qtype=A 
qname=host.example.com 
DNS 响应 :192.02.188 


DNS 响应 : 
301 T-db8:3a01:4fc0:0:2be: 
IPv6 上 建立 TCP 连 接 
源 :2011:db8:3a01:4fec6 |33:6431:: H #R:2001:db8:3a01:4fc0:0:2bc:: 配置 NAT 映 射 (BIB): 
2001:db8:3a01:4fc6:33:6431::p=1 
© 198.51.100.40 p=3931 
IPv4 FTCP 连 接 
源 :198.51.100.49 
建立 连接 目标 地 址 :192.0.2.188 | 


Ke) 
O 


1 


图 3-24 DNS64 解析 过 程 
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3.3.4 其 他 翻译 技术 


为 了 完整 起 见 和 某 些 历史 问题 ， 在 这 里 总 结 了 其 他 利用 网 关 的 翻译 技术 。 
3.3.4.1 带 端 口 转换 的 网 络 地 址 翻译 

顾名思义 ， 带 端口 转换 的 网 络 地 址 翻译 (Network Address Translation with 
Port Translation, NAT- PT) 24% IPv4 地 址 翻译 成 IPv6 地 址 (类 似 IPv4 NAT), 
而 且 还 有 前 面 所 说 的 协议 报头 翻译 的 功能 2。NAT- PT 设备 在 IPv6 网 络 和 IPv4 
网 络 之 间 充 当 网 关 的 角色 。 例 如 ， 可 以 能 够 使 原生 的 IPv6 设备 与 IPv4 网 络 上 的 
主机 通信 。NAT- PT 设备 维护 着 IPv4 地 址 池 ， 当 通信 发 生 的 时 候 ， 它 会 分 配 一 
个 已 有 的 IPv4 地 址 到 一 个 IPv6 地 址 上 。 图 3-25 给 出 了 NAT- PT RA (废止 
的 ) 。 由 于 REC 4966 ( 即 本 书 参 考 文献 [54]) 里 提 及 的 众多 理由 ，NAT- PT 已 
经 被 废止 并 且 不 再 部 署 使 用 了 。 


X 


IPv6 主 机 


Meee TCP/ 数据 有 


IPv6 网 络 5 
IPv4 主机 


eee TCP/ 数据 有 


图 3-25 NAT-PT 部 署 (废止 的 ) 51 


3.3.4.2 带 协 议 转换 的 网 络 地 址 翻译 

带 协 议 转 换 的 网 络 地 址 翻译 (Network Address Port Translation with Protoco 
Translation, NAPT-PT) 使 得 IPv6 节点 可 以 通过 使 用 单一 的 IPv4 地 址 与 IPv4 节 
点 进行 通信 。 因 此 ，NAPT- PT 将 每 一 个 IPv6 地 址 映射 到 带 有 了 唯一 TCP 或 UDP 
端口 号 (在 相应 的 IPv4 数据 报 中 设置 ) 的 共同 IPv4 地 址 ， 而 不 是 像 图 3-25 所 
示 一 样 NAT- PT 维护 IPv6 地 址 和 IPv4 地 址 一 对 一 的 映射 关联 。 使 用 单一 共享 的 
IPv4 地 址 可 以 最 小 化 NAT- PT 的 情况 中 IPv4 地 址 池 枯 竭 的 可 能 性 ， 这 也 是 前 面 
提 到 的 NAT64 使 用 到 的 技术 。 
3.3.4.3 SOCKS IPv6/IPv4 网 关 

在 RFC 1928 ( 即 本 书 参考 文献 [55] ) 中 定义 的 SOCKS 为 应 用 穿越 防火 
墙 、 高 效应 用 代理 服务 提供 了 传输 中 介 。RFC 3089 ( 即 本 书 参考 文献 【56 ] ) 
应 用 了 SOCKS 协议 来 进行 IPv4 和 1IPv6 之 间 的 翻译 。 类 似 前 面 讨论 过 的 几 种 翻译 


O NAT-PT 网 关 之 间 关联 所 管理 的 源 和 目标 IP 地 址 字段 除外 。 
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技术 ， 这 个 方法 包括 特殊 的 DNS 处 理 , 被 称 为 “DNS 解析 委托 ”， 其 将 域名 解析 
从 解析 客户 端 委 托 到 SOCKS IPv6/IPv4 网 关 。IPv4 或 IPv6 的 应 用 可 以 在 
“SOCKS” 化 后 与 SOCKS 网 关 代 理 通信 ， 与 使 用 不 同 协议 的 主机 建立 唯一 连接 。 
0 阐明 了 配置 了 SOCKS 客户 端的 IPv6 主 
机 连接 IPv4 主机 的 情况 。 经 过 “SOCKS 化 ”的 IPv4 主机 也 可 以 通过 SOCKS 网 
关连 接 到 IPv6 主机 ， 连 接 方式 如 图 从 右 到 左 所 示 。 


的 IPv6 主 机 SOCKS 
IPv6/IPv4 网 关 
图 3-26 基本 的 SOCKS 网 关 配 置 56] 


3.3.4.4 传输 中 继 翻译 器 

传输 中 继 翻 译 吉 ( Transport Relay Translator, TRT) (97) 是 一 个 十 分 类 似 
SOCKS 的 配置 ，TRT 的 特点 是 使 用 一 个 有 状态 网 关 将 两 个 独立 连接 通过 不 同 网 
络 连 接 起 来 。TCP 和 UDP 的 连接 从 主机 开始 到 TRT 终止 ， 然 后 TRT 新 建 一 个 单 
独 的 连接 到 目的 主机 ， 并 且 这 个 连接 成 为 两 个 连接 之 间 的 中 继 。TRT 需要 一 
DNS 应 用 层 网 关 (DNS- ALG)°, DNS- ALG 起 到 DNS 代理 的 作用 。TRT 可 以 让 
IPv6 主机 与 IPv4 目的 地 址 进行 通信 。 因 此 ，DNS- ALG 的 主要 功能 是 根据 IPv6 
解析 器 的 要 求 查询 一 条 AAAA 记录 ; 如 果 记 录 被 返回 ， 回 复 将 通过 解析 器 、 数 
据 连 接 和 IPv6 连接 。 如 果 没 有 AAAA 记录 返回 ，DNS- ALG 将 会 执行 一 条 A 记录 
的 查询 ;如果 收 到 回复 ，DNS-ALG 将 会 用 包含 在 A 记录 里 面 的 IPv4 地 址 生成 一 
个 IPv6 地 址 。RFC 3142 不 仅 定义 了 TRT， 而 且 还 规定 了 使 用 前 级 必 须要 在 
C6:: /64 后 跟着 32 位 0 再 加 上 32 位 的 IPv4 地 址 。 然 而 ，INNA 并 没有 分 配 
C6:: /64 前 缀 。 因 此 ,需要 配置 一 个 本 地 前 级 ( 见 图 3-27)。 
3.3.4.5 应 用 层 网 关 

应 用 层 网 关 (Application Layer Gateway, ALG) 在 应 用 层 中 执行 协议 转换 和 
应 用 代理 功能 ， 类 似 HTTP 代理 。 客 户 端 应 用 如 果 配 置 好 服务 器 代理 的 IP 地 址 ， 
就 可 以 通过 打开 该 应 用 建立 连接 ， 如 web 浏览 器 中 的 HTTP 代理 。 如 果 是 通过 
IPv6 网 络 上 的 主机 连接 到 IPv4 网 络 的 话 ，ALG 无 论 对 于 web 还 是 特定 应 用 程序 
的 访问 都 是 相当 有 用 的 。 


”有 时 被 称 为 “不 给 糖 就 捣蛋 的 DNS-ALG” 或 totd。 
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Jw DNS 服务 器 


D 


IPv6 主 机 IPv4 主机 


图 3-27 使 用 DNS- ALG 的 TRT 配置 5 


3.4 IPv6 的 应 用 支持 


实际 上 ，TCPZP 应 用 的 应 用 程序 接口 (Application Programming Interface, 
API) 是 套 接 字 接 口 ， 它 最 早 是 在 BSD UNIX 系统 上 实现 的 。 套 接 字 定 义 了 程 
序 调用 让 应 用 通过 TCP/IP 层 的 接口 在 IP 网 络 上 交换 信息 。 微 软 的 Winsock API 
也 是 以 套 接 字 为 基础 的 。 为 了 支持 IPv6 更 大 的 地 址 空间 和 附加 特性 ，sockets 和 
Winsock 接口 都 已 经 过 修改 了 。 事 实 上 ， 大 部 分 主流 的 操作 系统 都 已 经 实现 了 对 
sockets 或 者 Winsock 的 支持 ， 包 括 微软 Windows (XP SP1, Vista, 7, Server 2003 
& 2008 ) Solaris (8 + ) Linux (kernel 2.4 +). Mac OS (X.10.2)、AIX 
(4.3 +) U HP-UX (11i with upgrade) 操作 系统 。 

更 新 后 的 套 接 字 接 口 不 仅 支 持 Pv4 和 IPv6， 而 且 通 过 使 用 IPv4 映射 的 TP v6 
地 址 实现 了 IPv6 应 用 与 IPv4 应 用 的 交互 操作 。 检 查 应 用 厂商 对 IPv6 的 兼容 性 和 
要 求 ， 如 果 你 的 程序 使 用 的 是 没 经 过 更 新 的 套 接 字 的 程序 调用 ， 如 gethost- 
byname ( ) ， 那 就 说 明 你 必须 要 对 这 部 分 的 应 用 进行 更 新 了 。 更 多 的 细节 可 以 参 
考 本 书 参 考 文献 [58] 给 出 的 应 用 程序 开发 者 经 验 。 


3.5 服务 提供 商 的 IPv4/IPvw6 共存 ” 


服务 提供 商 ， 特 别 是 家 庭 宽带 服务 提供 商 ， 可 以 在 它们 已 有 的 网 络 上 实现 
IPv6 并 最 终 给 客户 分 配 IPv6 地 址 。 然 而 ， 它 们 的 网 络 一 般 来 说 比 企业 网 络 更 为 
复杂 ， 企 业 网 络 可 以 大 致 分 为 企业 内 部 网 络 域 和 外 部 面向 因特网 的 公共 域 。 站 
在 同一 个 高 度 ， 也 许 从 简化 的 网 络 视图 可 以 发 现 ， 服 务 提供 商 给 这 个 两 域 模型 


O ”该 部 分 内 容 是 基于 本 书 参考 文献 [59 ] 。 
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增加 了 第 三 个 域 ， 即 客户 接 入 网 络 。 增 加 这 第 三 个 域 需要 利用 一 个 包含 一 个 或 
多 个 到 本 章 为 止 所 讨论 过 的 技术 的 IPv6 部 署 方法 。 

用 户 驻 地 设备 (Customer Premises Equipment, CPE), 通常 是 一 个 路 由 器 、 
电缆 调制 解 调 器 、 光 纤 终 端 单元 或 无 线路 由 设备 ， 这 些 使 服务 提供 商 的 接 入 链 
路 终止 的 这 一 类 设备 ， 被 称 为 用 户 边缘 (Customer Edge, CE) 路 由 器 。CE 路 由 
器 通过 提供 商 边 缘 (Provider Edge, PE) 路 由 顺 将 所 有 客户 发 送 的 IP 数据 报 转 
发 到 服务 商 网 络 。PE 路 由 器 是 服务 提供 商 网 络 连接 终止 的 一 端 。PE 路 由 器 会 将 
数据 报 路 由 到 其 他 面向 用 户 的 PE 路 由 器 ， 或 直接 路 由 到 因特网 ， 或 通过 服务 提 
供 商 的 核心 或 骨干 路 由 带 转 发 《也 被 称 为 提供 商 或 P 路 由 絮 )。 
相反 ，PE 路 由 器 ， 将 因特网 或 其 他 商业 网 络 应 用 产生 的 服务 流量 ， 从 提供 
商 网 络 ， 以 输入 流量 路 由 到 用 户 站 点 。 服 务 提供 商 的 “核心 ”网 络 由 在 其 自身 
及 PE 路 由 器 之 间 路 由 ， 数 据 报 的 骨干 路 由 器 组 成 。 服 务 提供 商 一 般 为 CE 设备 
面向 服务 提供 商 的 网 络 接口 提供 IP 地 址 。 对 于 商业 应 用 ，CE 路 由 器 是 在 相应 的 
客户 网 站 中 到 其 他 一 些 网 络 的 接口 ; 而 对 于 家 庭 型 应 用 ，CE 设备 有 时 是 一 个 
DHCP 服务 器 ， 为 相对 较 少 数量 的 主机 提供 IP 地 址 。 


3.5.1 参考 架构 


在 服务 提供 商 的 网 络 中 ，IP 数据 报 可 以 通过 各 种 基本 服务 ， 如 MPLS, RA 
被 路 由 到 目的 地 。 对 于 需要 通过 公共 网 络 来 进行 访问 的 目的 地 址 ， 目 的 主机 应 
该 能 够 通过 IPv4 地 址 (通过 “IPv4 因特网 ”) 或 IPv6 地 址 (通过 “TIPv6 因 特 
网 ”) 或 以 上 两 者 来 进行 访问 。 尽 管 这 里 将 其 说 明 为 两 个 逻辑 上 独立 的 网 络 ， 根 
据 所 使 用 IP 路 由 的 版 本 来 区 分 ， 但 在 物理 上 这 是 同一 个 网 络 。 连 接 到 一 个 或 两 
个 这 样 的 “因特网 ”取决 于 服务 提供 商 的 能 力 及 路 由 通告 在 IPv4 、IPv6 或 两 者 
上 同时 被 支持 情况 〈 见 图 3-28) 。 


Ipv4 主 机 
192.0.2.21 


客户 网 络 ) eH 


客户 边 i 


Ipv6 因 特 网 


可 | 
Ea 


Ipv6 机 
服务 提供 商 网 络 _ 目的 网 络 2001:do8 Baf0:;1 


图 3-28 基本 三 层 架 构 : 客户 网 络 / 服 务 提供 商 网 络 / 目 的 网 络 


下 面 将 对 基本 三 层 架 构 中 的 每 一 层 来 考虑 IPv6 的 部 署 : 
e 用 户 网 络 。 取 决 于 服务 提供 商 对 用 户 是 否 支 持 IPv4 、IPv6 或 两 者 都 支持 。 
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o 服务 提供 商 网 络 。 服 务 提 供 商 网 络 的 边缘 设备 及 “核心 ”设备 ， 将 用 户 
与 因特网 相互 连接 。 

e 目的 网 络 。 取 决 于 目的 网 站 、 电 子 邮 件 服务 器 等 的 能 力 ， 可 达 性 可 能 需要 
文 持 一 个 或 两 个 IP 版 本 


3.5.2 部 署 方法 概述 


服务 提供 商 通常 控制 它们 的 网 络 ， 在 大 多 数 情况 下 是 控制 如 何 将 IP 地 址 分 
配给 CE 设备 中 面向 服务 提供 商 的 接口 。 客 户 可 以 自行 实现 任 一 卫 版 本 ， 尽 管 
它们 通过 特定 IP 版 本 的 连接 能 力 ， 在 一 定 程度 上 取决 于 预期 目的 地 对 协议 版 本 
的 支持 和 服务 提供 商 对 传输 的 支持 。 表 3-9 列 出 了 基于 所 支持 的 协议 版 本 的 基本 
部 署 选项 ， 其 中 总 结 了 在 这 个 简单 的 三 层 架 构 中 每 层 使 用 不 同 IP 版 本 时 的 可 用 
连接 选项 。 


表 3-9 基于 所 支持 的 协议 版 本 的 基本 部 署 选项 


Ra ry 
pa IPv6 部 署 方法 
客户 | 提供 | 目的 配 轻 
网 路 | 商 网 | 网 络 | NAT44 外 6PE/6VPE 5 6rd | dovas | 型 | 具有 DNS64 | 全 Ipv6 
络 RE 隧 双 | 的 NAT64 
道 BE 


IPv4 IPv4 IPv4 


IPv4 IPv4 IPv6 


IPv6 IPv4 IPv4 


IPv6 IPv4 IPv6 


IPv4 IPv6 IPv4 


IPv4 IPv6 IPv6 


IPv6 IPv6 IPv4 


IPv6 IPv6 IPv6 


表 中 上 四 行 说 明了 一 个 维护 IPv4 网 络 (至 少 是 暂时 的 ) 的 服务 提供 商 的 
连接 选项 。 例 如 ， 表 的 第 一 行 突 出 反映 了 当今 主流 传输 方案 的 端 到 端 IPv4 连 
接 。 为 了 支持 在 接 下 来 三 行 所 列举 的 方案 ， 就 需要 实现 某 种 形式 的 IPv6 兼容 。 
在 第 二 行 及 第 三 行 所 列举 的 情况 下 ， 为 支持 Pv 客户 与 IPv6 目的 地 的 通信 或 
相反 方向 的 通信 ， 需 要 部 署 双 协 议 栈 。 第 四 行 表 明 通 过 服务 提供 商 的 IPv4 网 
络 连接 两 个 IPv6 端点 。 很 多 种 部 署 方法 可 以 解决 这 种 情形 ， 包 括 双 协议 栈 、 
端 到 端 配置 隧道 (如 各 种 VPN), 6rd; 或 如 果 使 用 MPLS 的 话 ，6PE 及 6VPE 
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也 能 胜任 。 

表 中 下 四 行 说 明 一 种 IPv6 的 服务 提供 商 的 实现 及 支持 多 种 连接 类 型 的 能 
或 要 求 。 当 然 ， 服 务 提供 商 可 以 在 一 次 阶段 性 的 IPv6 部 署 期 间 实 现 多 种 技术 ， 
如 根据 市 场 或 地 理 位 置 进 行 分 阶段 实施 。 

从 表 中 可 以 清晰 地 看 到 ， 双 协议 栈 支 持 所 有 的 组 合 方案 ,尽管 其 需要 完备 
的 IPv4ZIPvw6 地 址 分 配方 案 ， 以 及 要 求 PE 设备 或 所 有 的 服务 提供 商 路 由 器 部 署 
双 协 议 栈 。 应 当 注意 的 是 ， 当 面向 互联 网 配置 双 协议 栈 或 其 他 部 署 方法 同时 支 
持 两 个 版 本 的 协议 时 ， 边 界 路 由 器 必须 配置 为 对 IPv4 及 IPv6 路 由 路 径 进 行 
通告 。 


3.5.3 路 由 基础 设施 的 部 署 方法 


本 节 对 每 种 实施 策略 进行 概述 。 一 般 不 会 通过 配置 隧道 选项 来 解决 问 
题 ， 因 为 这 意味 着 要 一 个 事先 配置 好 VPN ， 或 一 个 穿越 服务 提供 商 网 络 而 不 
由 服务 提供 商 直 接 参 与 的 连接 客户 和 目的 网 络 主机 的 隧道 。 自 动 隧道 或 “ 软 
线 (softwires) ”是 快速 创建 的 隧道 ,下面 将 看 到 它 是 几 种 部 署 方法 的 核心 
部 件 。 
3.5.3.1 NAT444 

NAT444'" 在 技术 上 来 说 并 不 是 一 种 IPv6 实现 策略 。 但 是 NAT444 作为 一 种 
为 延长 IPv4 生命 周期 “争取 时 间 ” 的 方法 ， 其 目的 是 为 了 部 署 IPv6 形式 的 补充 
地 址 空间 。NAT444 拥有 可 以 作为 大 型 (“运营 商 级 别 ”) IPv4- IPv4 网 络 地 址 转 
换 网 关 (LSN NAT44) 的 特点 ， 这 个 特点 使 多 个 用 户 共 享 一 个 公共 IPv4 地 址 。 
NAT444 有 不 需要 更 换 现存 的 IPv4 网 络 用 户 端 设备 的 好 处 ， 尽 管 需要 付出 限制 用 

会 话 数量 (可 能 会 被 如 AJAX, RSS 订阅 等 应 用 所 需要 ) ， 用 户 端 设备 位 置信 
息 的 丢失 (E911), KEWELL 的 代价 〈 见 图 3-29) 。 


IPv4 因 特 网 


~ T9851.11.5 
LSN NAT44 


IPv4 主机 
192.0.2.21 


V4 源 地 址 =192.168.1.5 V4 源 地 址 =10.189.234.13 v4 源 地 址 =198.51.11.5 


v4 目标 地 址 =192.0.2.21 v4 目标 地 址 =192.0.2.21 v4 目标 地 址 =192.0.2.21 


图 3-29 NAT444 体系 结构 


图 3-29 所 示 的 NAT444 体系 结构 ， 显 示 了 在 数据 通路 中 使 用 了 两 个 NAT 的 
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情况 : 第 一 个 在 用 户 端 设 备 中 ， 将 家 庭 网 络 中 的 IPv4 地 址 空间 转换 为 服务 提供 
商 提供 的 私人 地 址 空间 ; 第 二 个 为 NAT， 即 LSN NAT44 ， 将 用 户 的 客户 端 地 址 
转换 为 一 个 公共 IPv4 地 址 。 不 同 的 端口 号 用 来 在 同一 个 或 多 个 终端 用 户 中 区 分 
不 同 的 会 话 。 术 语 “NAT444” 是 对 使 用 两 个 IPv4-IPv4 NAT 的 描述 ，NAT444 实 
际 是 转换 三 个 IPv4 地 址 空间 (用 户 私人 地 址 、 服 务 提供 商 接 入 地 址 和 公用 网 
络 ) 的 了 PP 地 址 。 
3.5.3.2 Windy 

如 前 所 述 ， 双 协议 栈 的 实现 需要 对 每 个 基础 设施 设备 (或 至 少 是 路 由 设备 ， 
也 可 能 是 设备 接口 ) 进行 IPv4 地 址 及 IPv6 地 址 的 配置 。 不 管 相应 的 服务 提供 商 
所 支持 的 协议 是 IPv4 还 是 IPv6， 支 持 双 协 议 栈 用 户 端 设备 都 可 以 高 效 运行 ， 然 
而 端 到 端的 连接 则 要 求 在 服务 提供 商 网 络 与 相应 的 目的 网 络 之 间 的 协议 连续 性 。 

服务 提供 商 网 络 中 对 双 协 议 栈 的 支持 可 能 是 完全 部 署 整 个 网 络 或 只 在 网 络 
“边缘 ”部 署 。 例 如 ，PE 路 由 器 可 以 实现 双 协 议 栈 来 启用 对 IPv4 和 IPv6 用 户 的 
支持 ， 而 面向 因特网 的 端口 则 使 用 目的 网 络 的 卫 版 本 建立 连接 ( 见 图 3-30) 。 
然而 ， 如 果 没 有 在 与 PE 路 由 器 互联 的 骨干 路 由 器 上 实现 完全 的 双 协 议 栈 部 署 的 
话 ， 则 需要 PE 之 间 的 隧道 来 传输 未 获 实现 的 IP 版 本 的 流量 。 这 个 实现 方法 将 
在 下 一 小 节 “MPLS 上 的 IPv6 部 署 ” 中 说 明 。 


IPv4 主 机 
192.0.2.21 


IPv4/IPv6 
边界 路 由 器 


IPv6 因 特 网 


IPv6 主 机 
2001:db8:8af0::1 
图 3-30” 双 协议 栈 体 系 结构 


3.5.3.3 MPLS 上 的 IPv6 

有 几 种 在 MPLS 上 实现 IPv6 的 方法 ,包括 对 原生 IPv6 的 支持 ,但 是 最 常见 
的 过 渡 时 期 方法 有 在 MPLS 上 的 IPv6 PE (6PE) 或 在 MPLS 上 的 IPv6 VPN PE 
(6VPE) (ILEI 3-31), 6PE 体系 架构 ' 支持 使 用 IPv4 的 核心 路 由 器 和 实现 双 协 
议 栈 的 PE 路 由 器 ; 这 种 方法 可 以 作为 完全 实现 双 协 议 栈 或 IPv6 部 署 的 中 间 
步骤 。 

双 协 议 栈 PE 路 由 器 通过 在 IPv4 上 的 多 协议 边界 网 关 协 议 ( Multi- Protocol 
Border Gateway Protocol, MP-BGP) 来 传达 其 面向 核心 IPv4 网 络 的 IPv6 地 址 可 达 
性 。 这 将 使 得 入 口 OPE 路 由 需 能 够 识别 出 口 6PE 路 由 的 IPv4 地址、 识别 标签 交 
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换 路 径 (Label Switch Path, LSP) 和 相关 联 的 IPv4 标签 ， 从 而 使 得 标签 交换 能 
gic SF IPv4 路 由 器 达到 出 口 6PE 路 由 器 。 这 种 技术 需要 使 用 一 个 IPv6 标签 
和 一 个 外 部 IPv4 标签 ， 但 必须 预先 定义 IPv6 over IPv4 隧道 。 


wm IPv4 主 机 


192.0.2.21 


IPv4/IPv6 
边界 路 由 器 


PE 
IPv4/IPv6 IPv6 因 特 网 


CE 设备 设备 


骨干 路 由 器 IPv6 主 机 
2001:db8:8af0::1 


图 3-31 6PE 体系 结构 


6VPE' 1 架构 与 OPE 是 高 度 相 似 的 ， 不同 在 于 6VPE 使 用 IPv6 over IPv4 的 
“VPN 隧道 ”来 穿 透 核心 网 络 。 相 对 于 6PE ，6VPE 可 以 提供 更 好 的 隐私 保护 和 
地 址 空间 复 用 。6VPE 将 给 定 的 客户 VPN 与 PE 设备 中 的 一 个 或 多 个 VPN 路 由 和 
转发 (VPN Routing and Forwarding, VRF) 表 项 相关 联 。PE 路 由 需 会 将 用 户 网 
络 的 物理 链 路 信息 ( 可 能 是 第 2 层 的 报头 信息 ) 与 VRF 表 中 对 应 的 VPN 关联 在 
一 起 。 

每 个 CE 设备 向 其 相连 的 PE 路 由 器 发 送 路 由 通告 (相应 网 站 的 可 达 性 ) 。 
MPLS 标签 会 被 分 配给 VPN (通过 VPN、CE 设备 或 者 路 由 来 分 配 ) ， 当 MP- BGP 
路 由 信息 在 服务 提供 商 网 络 中 面向 用 户 网 络 (VPN) 的 PE 路 由 器 之 间 分 发 的 时 
候 ， 这 个 MPLS 标签 也 会 在 路 由 路 径 上 被 传递 。IPv6 路 由 路 径 在 VPNv6 地 址 族 
中 的 MP- BGP 信息 中 承载 ， 其 中 的 下 一 跳 可 达 性 信息 被 配置 为 IPv4 映射 的 IPv6 
地 址 [::ff: <ipv4 地 址 > ] 。 由 于 骨干 网 只 使 用 IPv4， 按 照 BOP 要 求 下 一 跳 地 
址 应 当 是 在 同一 地 址 族 内 ， 因 此 下 一 跳 地 址 也 是 一 个 IPv4 地 址 。 当 IPv4 分 组 从 
一 个 CE 路 由 器 到 达 一 个 PE 接口 时 ，PE 路 由 器 从 VRF 表 中 确定 VPN， 然 后 使 
用 相应 的 标签 将 分 组 转换 到 适当 的 PE 设备 并 最 终 到 底 目 的 地 。 
3.5.3.4 6rd (IPv6 快速 部 署 ) 

RFC 5569 ( 即 本 书 人 参考 文献 [64]) 将 “在 IPv4 基础 设施 上 快速 部 署 IPv6 
(6rd) ”定义 为 一 种 在 维持 IPv4 基础 设施 的 情况 下 使 服务 提供 商 能 够 给 终端 客户 
实现 IPv6 连接 和 提供 IPv6 地 址 的 技术 。RFC 5969 ( 即 本 书 参 考 文献 【65] ) 为 
6rd 协议 作出 了 规范 。 这 种 方法 要 求 通过 一 个 改进 过 的 6to4 技术 将 客户 的 IPv6 
数据 流量 从 客户 端 通过 “ 软 线 隧道 ” ( softwire tunneling) 送 达 至 一 个 IPv6 目的 
地 。 这 个 改进 要 求 用 服务 提供 商 的 IPv6 前 级 (/32) 代替 6to4 MATAR, FART 
依靠 松散 维护 的 6to4 任 播 中 继 ， 使 用 2002 : : /16 提供 了 一 个 更 好 的 双向 控制 。 
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就 像 6to4 那样 ，6rd AY IPv6 前 级 后 的 32 位 由 6to4 网 关 的 IPv4 地 址 组 成 ， 在 
前 文 这 种 情况 下 是 客户 端 宽带 路 由 的 地 址 。 因 此 ，6to4 的 前 级 定义 为 2002: 132 
位 的 IPv4 HEHE} :: /48, ， 而 6rd 的 前 缀 定义 为 132 位 的 服务 提供 商 IPv6 前 绥 } : 
132 位 的 IPv4 HEHE} :: /64。 

这 使 得 服务 提供 商 可 以 给 每 个 客户 提供 一 个 包含 一 个 单一 的 IPv6 子 网 的 /64 
地 址 块 。 因 此 ,一 个 拥有 RIR 分 配 的 2001: db8:: /32 IPv6 地 址 块 的 服务 提供 
商 ， 它 可 以 给 拥有 IPv4 地 址 为 192. 0.2. 130 的 客户 网 关 设 备 提供 一 个 2001: 
db8 : c000: 282:: /64 的 6rd 子 网 地 址 ， 如 图 3-32 所 示 。 
路 由 表 


目标 :2001:db9:0:e2::/64 
= > F—k:2001:db8:0:e2::al 


路 由 表 
目标 :2001:db8:c000:282::/64 
<= P— Bb: BH 2001 :db8:c000:282::a 


IPv6 主 机 6rd 6rd 中 继 路 由 器 IPv6 主 机 
v6 地 址 =2001:db8:c000:282::9a i Ee 30 V4 地 址 =192.0.2.131 ”v6 地 址 =2001:db9:0:e2::e7 
6rd 地 址 =2001:db8:c000:282.:9a pers ee eee renee 
1 v4 源 地 址 =192.02.130 1 
! ”v4 目的 地 址 =192.0.2.131 1 
1 OR v4 目的 地 址 =192.0.2.33 
6 源 地 址 =2001.db8:c000:282..9a 


v6 源 地 址 =2001:db8:c000:282::9a 


v6 源 地 址 =2001:db8:c000:282::9a 
v6 目的 地 址 =2001:db9:0:e2::e7 


v6 目的 地 址 =2001:db9:0:e2::e7 
v6 目的 地 址 =2001:db9:0:e2::e7 


图 3-32 6rd BAX 


家 庭 设备 所 需要 的 IPv6 地 址 将 从 这 个 子 网 中 分 配 得 到 。 例 如 ， 如 图 3-32 
BRAS, 一 台 计 算 机 被 分 配 了 IPv6 地 址 2001: db8: c000: 282:: 9a, 6rd 客户 网 
关 通 过 隧道 将 从 IPv4 产生 的 IPv6 分 组 传输 到 Ord 网 关 〈 中 继 路 由 器 ) 6rd 与 
6to4 的 另 一 个 与 地 址 有 关 的 差异 是 ，6to4 的 任 播 地 址 是 固定 的 〈192. 88. 99. 1 ) ， 
而 Ord 的 任 播 地 址 是 由 服务 提供 商 根据 自己 的 地 址 空间 所 定义 的 。 必 须 给 每 个 客 
户 路 由 器 提供 6rd 中 继 代理 或 任 播 地 址 。 

6rd 的 中 继 路 由 需 终 止 IPv4 隧道 的 传输 ， 然 后 将 IPv6 分 组 路 由 到 其 目的 地 。 
使 用 服务 提供 商 的 前 级 ， 可 使 得 6rd 可 达 目 的 地 址 能 够 随同 服务 提供 商 的 本 地 
IPv6 流量 一 同 被 通告 。 
3.5.3.5 4over6 

4over6 方法 ,在 RFC 5747 ( 即 本 书 参考 文献 [67] ) 中 被 规范 ， 是 一 种 为 
了 使 IPv4 用 户 通 过 一 个 IPv6 网 络 到 达 IPv4 目的 地 的 自动 隧道 方法 (如 soft- 
wire) 。 作 为 一 种 与 6PE 相反 的 方法 ，4over6 面 对 的 是 IPv6 核心 的 骨干 路 由 器 ， 
它 对 原生 IPv6 流量 进行 路 由 ， 对 IPv4 数据 报 则 通过 隧道 传输 。 一 个 拥有 IPv4 地 
址 空间 的 用 户 可 以 使 用 这 种 技术 与 IPv4 目的 地 进行 通信 。 
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每 个 CE 路 由 器 对 其 相连 的 PE 路 由 器 提供 路 由 更 新 。PE 路 由 器 使 用 MP- 
BGP 来 传递 4over6 路 由 信息 ， 并 对 网 络 流量 进行 相应 的 路 由 选择 。 就 图 3-33 所 
示 而 言 ， 当 目的 地 CE 设备 (没有 在 图 中 标 出 ) 向 192. 0. 2.0/24 通告 其 可 达 性 
时 ， 图 中 左 侧 的 CE 设备 也 向 198. 51. 100. 0/24 通告 可 达 性 。 通 信和 双方 的 PE 路 
由 器 都 使 用 MP- BGP 来 传达 可 达 性 。 当 一 个 分 组 到 达 在 图 中 左边 的 PE 路 由 器 
时 ， 其 到 达 目 的 地 的 路 由 路 径 被 标识 。 而 且 ， 为 了 经 由 IPv6 核心 (P) BRA at 
路 由 ， 该 分 组 需要 使 用 IPv6 报头 封装 起 来 。 当 出 口 的 PE 路 由 器 收 到 IPv6 分 组 
时 ， 这 个 PE 路 由 器 对 分 组 进行 解 封装 ( 移 除 IPv6 报头 ) ， 然 后 通过 CE 路 由 器 
将 原来 的 IPv4 分 组 路 由 到 其 目的 地 。 


IPv4 主 机 CE 设备 PE IPv4/ 


192.51.100.5 IPv6 
设备 


00.5 V6 源 地 二 =2001:db8&iai1 1 VAY SESE =198.51.100.5 


IPv6 骨 干 路 由 器 


va 8.51.1 
v4 目 的 地 二 an 0.2.21 1V6 H 的 地 址 =2001:db8::a:21 v4 目的 地 址 =192.0.2.21 


图 3-33 4over6 实例 


当前 的 4over6 架构 只 支持 单个 自治 系统 (Autonomous System, AS), lL, 
对 多 客户 私人 网 络 的 支持 是 有 限 的， 但 是 对 多 AS 的 支持 是 未 来 研究 的 方向 。 
3.5.3.6 轻型 双 栈 

是 一 种 使 得 服务 提供 商 能 够 在 其 网 络 中 部 署 IPv6 的 技术 ， 同 时 

能 使 得 对 分 配给 用 户 网 络 设备 的 IPv4 地 址 的 长 期 支持 与 有 效 利 用 变 得 容易 。 

商 通常 为 客户 路 由 器 或 网 关 这 类 接口 直接 指向 宽带 接 和 人 网 络 的 设备 分 
配 IP 地 址 。 客 户 网 关 在 给 家 庭 网 络 中 的 IP 设备 分 配 IP 地 址 时 起 到 DHCP 服务 
器 的 功能 。 这 里 假设 这 样 的 家 庭 网 络 设备 将 在 相当 长 的 一 段 时 间 内 只 支持 IPv4。 

实现 轻型 双 栈 需要 包含 以 下 组 件 : 

o 基本 桥接 宽带 ( Basic ens Broad Band, B4) 部 件 。 将 IPv4 家 庭 网 络 
与 IPv6 网 络 桥接 起 来 B4 功能 可 能 局 限于 客户 网 关 设 备 内 或 服务 提供 商 网 
络 内 。 

o 软 线 IPv4-in-IPv6 隧道 。 在 IPv6 上 将 IPv4 流量 在 B4 与 地 址 族 转换 路 由 
(Address Family Translation Router, AFTR) 之 间 用 隧道 传输 。 

e AFTR, FI B4 部 件 一 样 作为 IPv4- in- IPv6 软 线 隧道 的 终止 点 ， 也 执行 
IPv4-IPv4 NAT 功能 。 

图 3-34 所 示 的 轻型 双 栈 体系 架构 ， 说 明了 在 一 个 端 到 端 IP 连接 中 ， 
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NAT W 
10.1.0.2:1000 来 自 2001:db8::a:1 
© 198.51.100.5:5000 


SJ 
IPv4 主 机 
10.1.0.2 


IPv4 主 机 
192.0.2.21 


v4 源 地 址 =10.1.0.2:1000 v4 源 地 址 =198.51.100.5:5000 
v4 目的 地 址 =192.0.2.21:80| v4 目的 地 址 =192.0.2.21:80 


v4 源 地 址 =10.1.0.2:1000 
v4 目的 地 址 =192.0.2.21:80 


13-34 ”轻型 双 栈 体系 架构 '%] 


组 成 部 件 之 间 的 相互 关系 。 从 图 中 左 侧 开始 ，IPv4 主机 通过 客户 网 关 的 DHCP 
服务 器 功能 获取 IPv4 地 址 10. 1.0.2。 假设 这 个 IPv4 主机 想 要 连接 到 一 个 IP 地 
址 被 解析 为 192. 0. 2. 21 的 网 站 上 。 例 如 ， 这 个 IPv4 主机 生成 一 个 IP 数据 报 ， 
其 源 地 址 为 10.1.0.2、 目 的 端口 号 为 1000， 目 的 地 址 为 192. 0.2.21、 目 的 端口 
号 为 80。 这 个 主机 将 该 分 组 传输 到 其 默认 路 由 ， 即 CE 网 关 。 

图 中 的 客户 网 关 包含 了 B4 部 件 ， 如 果 尚 未 建立 IPv4- in- IPv6 的 “ 软 线 隧 
道 ”，B4 会 建立 隧道 。 客 户 网 关 的 WAN 端口 (面向 服务 提供 商 ) 已 经 被 分 配 了 
一 个 IPv6 地 址 ， 且 在 这 个 连接 上 隧道 已 经 被 建立 起 来 。 客 户 网 关 已 经 手动 或 者 
通过 DHCPv6 配置 了 AFTR IPv6 地 址 。 如 图 3-34 所 示 ，B4 部 件 将 原本 的 IPv4 分 
组 用 一 个 IPv6 报头 封装 起 来 ， 然 后 将 其 传送 到 AFTR, 

AFTR 终止 隧道 并 删 掉 IPv6 GBB, AFTR 随后 行使 IPv4- IPv4 NAT 的 功能 。 
这 需要 将 原本 分 组 的 私人 (REC 1918) IPv4 源 地 址 转化 为 公共 的 IPv4 地 址 。 
此 ， 在 这 种 情况 下 ， 服 务 提供 商 必须 为 发 往 IPv4 目的 地 分 组 的 源 IP 地 址 ， 提 供 
一 个 公共 IPv4 地 址 池 。 这 公共 地 址 池 使 得 服务 供应 商 能 够 更 有 效 地 利用 日 益 稀 
缺 的 公共 IPv4 地 址 空间 。AFTR 一 般 也 进行 端口 转换 ， 且 为 了 双向 正确 映射 
IPv4 地 址 和 端口 号 ， 必 须 为 每 个 NAT 操作 追踪 这 些 映射 。 

图 3-34 "A, AFTR 将 客户 的 源 IPv4 地 址 及 端口 从 10. 1. 0.2: 1000 映射 为 
198. 51. 100. 5; 5000。 客 户 一 般 使 用 私人 地 址 空间 ， 这 可 能 会 发 生地 址 重合 的 现 
象 ， 因 此 NAT 映射 表 也 追踪 分 组 源 自 的 隧道 。 包含 IPv4 地 址 及 端口 号 为 
198. 51. 100.5; 5000 的 数据 报 最 终 被 传送 到 目的 主机 。 去 往 这 个 地 址 /端口 的 返 
回 分 组 被 映射 为 目的 地 址 为 10.1.0.2: 1000， 且 通过 隧道 传输 到 2001: db8 : : 
a: 1, 

部 署 IPv6 或 双 协 议 栈 主 机 的 客户 可 以 通过 在 客户 网 关中 实现 的 DHCPv6 功 
能 或 自动 配置 获得 IPv6 地 址 。 从 家 庭 网 络 传输 到 客户 网 关 的 IPv6 分 组 不 会 使 用 
“ 软 线 障 道 ” ， 而 会 被 本 地 服务 提供 商 的 IPv6 接 入 网 络 进行 路 由 和 传输 。 
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3.5.3.7 NAT64/DNS64 

正如 本 章 前 面 详细 讨论 过 的 ，NAT64/DNS64 解决 方案 使 得 IPv6 主机 与 IPv4 
目的 地 之 间 的 通信 变 得 简单 。 对 服务 提供 商 而 言 ， 这 种 方法 可 用 在 当 客 户 端 设 
备 只 支持 IPv6 的 情况 ， 因 为 这 允许 客户 能 与 仍 将 存在 相当 长 的 一 段 时 间 的 IPv4 
因特网 进行 通信 。 从 服务 提供 商 的 角度 来 看 ， 其 基本 架构 如 图 3-35 所 示 。 一 个 
IPv6 主机 需要 发 起 一 个 Web 会 话 时 ， 可 能 为 相应 的 IP 地 址 发 起 DNS 解析 。 在 
它们 的 递归 域名 服务 器 上 部 署 了 DNS64 功能 后 ， 服 务 提供 商 能 够 自动 将 请 求 的 
主机 地 址 (在 这 种 情况 下 是 P4 ) 转换 为 IPv6 地 址 ,来 使 得 客户 能 够 通过 
NAT64 网 关 与 目的 主机 建立 http 会 话 。 

无 论 服 务 提供 商 何 时 为 用 户 实 现 IPv6 , DNSO4/NATO4 的 部 署 能 够 使 得 这 些 
用 户 访问 终 将 会 成 为 历史 遗产 的 IPv4 网 站 。 


NAT 映射 表 
BIB:2001 :db8:3a01:4fc6:33:6431 ::p=191 1 198.51.100.40 p=3931 
Session:(2001 :db8:3a01 :4fc6:33:6431::,=1911), 
(2001:db8:3a01:4fc0:0:2be::, 80)<>(198.51.100.40.3931),(192.0.2.188,80) 


2001 :db8:100::al IPv4 主 机 
- 192.0.2.188 
v6 源 地 址 =2001:db8:3a01:4fc6:33:6431::p=1911 4 源 =198 51.100.49 

v6 目 标 地 址 =2001:db8:3a01:4fc0:0:2bc::p=80 Veni ce 


图 3-35 NAT64/DNS64 服务 提供 者 架构 


3.5.4 部 署 方法 的 比较 
表 3-10 给 出 的 部 署 方法 的 高 层次 比较 ， 归 纳 了 各 部 署 方法 的 相关 特性 。 
表 3-10 部署 方 法 的 高 层次 比较 


IPv6 部 署 方法 
基本 标准 PE/ i AA | 具有 DNS64 
NAT444 | 双 栈 $ aes 6rd 4over6 ne a DN 全 IPv6 
6VPE | 隧道 双 栈 | AY NAT64 


商业 或 住宅 WA | 均 有 | 商业 | 商业 | 住宅 | 商业 | 住宅 均 有 均 有 
提供 IPv6 支持 | 不 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 支持 支持 


IPv4/IPv6 共存 | 不 共存 | 共存 | 共存 | 共存 | 共存 | 共存 | 共存 共存 “| 不 共存 
实现 复杂 度 高 高 中 中 低 低 中 高 中 
需要 客户 端 


不 需要 | 不 需要 | 不 需要 | 不 需要 | 需要 | 不 需要 | 需要 不 需要 需要 


设备 改变 
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( 续 ) 
IPv6 部 署 方法 
FE 本 ËR 准 T ij =g = ha 
NAT444| 双 栈 i 6rd | 4over6 HA AA ee 全 IPv6 
6VPE | 隧道 双 栈 | 的 NAT64 
需要 新 的 服务 
a 不 女 女 不 ee ee 不 需 ee 不 需要 
提供 商 设备 
新 进 性 操作 和 发 现 
k 
修理 故障 的 复杂 性 和 i | j i £ i j 
支持 重量 的 IPv4 
= 支持 | 不 支持 | OVPE | 不 支持 | N/A | 不 支持 | 支持 不 支持 | N/A 


3.6 3it5 DNS 的 考虑 


无 论 选 择 哪 种 部 署 策略 ， 适 当 的 IPv6 地 址 分 配 和 DNS 配置 对 于 IPv6 的 
成 功 部 署 是 至 关 重 要 的 。 除 非 计 划 做 全 新 网 络 的 部 署 ， 否 则 都 应 当 考 虑 IPv6 
地 址 空间 和 当前 与 未 来 部 署 的 IPv4 地 址 空间 的 管理 及 分 配 。 例 如 ， 在 一 个 
双 栈 部 署 中 ， 不 仅 要 在 子 网 级 别 进行 地 址 空间 管理 ， 而 且 要 细 化 到 双 栈 设备 
接口 对 IPv4 及 IPv6 地 址 的 使 用 管理 ， 这 对 于 精确 的 IP 地 址 空间 的 管理 是 至 
关 重 要 的 。 

要 谨慎 细致 地 分 配 从 RIR 获得 的 IPv6 地 址 。 作 为 一 个 一 般 原 则 ， 从 RIR 获 
得 的 地 址 块 的 前 缀 长 度 和 准备 分 配给 用 户 的 地 址 空间 大 小 之 间 的 差异 将 决定 需 
要 如 何 处 理 地 址 的 层级 结构 。 例 如 ， 如 果 从 RIR 处 获得 一 个 /32 的 地 址 块 ， 并 打 
算 分 配 /64 的 地 址 块 给 用 户 ， 那 将 有 32 位 的 地 址 空间 可 以 用 来 进行 层级 分 配 ， 
如 通过 区 域 (如 /36s )、 城 市 (如 /44s )、 服 务 节 点 (如 /52s )、PE 设备 
(如 /56s) 这 样 的 层次 结构 。 例 子 中 的 层级 分 配 结构 将 允许 分 配 16 个 地 区 ， 每 
个 地 区 又 能 分 别 分 配 256 个 城市 ， 每 个 城市 又 能 分 配 256 个 服务 节点 ， 每 个 服务 
节点 又 能 分 配 16 个 PE 设备 ， 每 个 设备 又 能 支持 256 /64s 个 用 户 。 当 然 ， 这 是 
一 个 例子 ， 可 能 分 配 更 多 或 更 少 不 同 大 小 的 层 。 

如 果 要 分 配 更 大 的 地 址 块 给 用 户 ， 那 么 将 剩 下 更 少 的 可 使 用 位 。 如 果 是 非 
均匀 地 将 地 址 块 分 配给 用 户 (如 ，/48 给 企业 用 户 ，/64 给 SOHO 用 户 ) ， 那 么 
在 用 稀 朴 、 最 适合 或 随机 的 方式 分 配 地 址 空间 时 ， 就 需要 一 个 更 加 复杂 的 地 址 
分 配 及 追踪 机 制 ， 这 将 会 在 本 书 第 5 章 进行 描述 。 

DNS 配置 将 使 终端 用 户 通 达 网 络 (命名 空间 ) 中 IPv4 或 IPv6 可 寻 址 的 目的 
地 址 。 目 的 地 址 的 解析 属于 各 自 域名 管理 员 的 管理 范围 。 对 于 IPv6 地 址 
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(AAAA 记录 查询 类 型 ) 而 不 是 IPv4 (A 记录 查询 类 型 ) 所 返回 的 响应 ， 将 对 查 
询 主机 表明 这 个 地 址 只 能 通过 IPv6 进行 访问 。 在 这 种 情况 下 ，IPv6 服务 会 被 用 
来 建立 连接 。 

一 些 IPv4/IPv6 转换 技术 对 于 DNS 有 直接 的 要 求 ， 如 NAT64/DNS64。 如 果 
给 用 户 指 定 了 反 向 区 和 地 址 空间 ， 那 么 DNS 必须 要 有 正确 (精确 !) 的 ip6. arpa 
区 及 对 应 的 NS/glue 记录 。 这 与 分 配 IPv4 地 址 的 过 程 类 似 ， 但 在 十 六 进 制 与 十 
进 制 的 域名 标签 表示 上 有 明显 的 语法 差异 。 


第 4 章 IPv6 准备 情况 评估 


IPv4 是 如 今 使 用 最 普遍 的 协议 ， e 工具 ， 同 时 作为 广 
泛 的 应 用 工具 服务 于 商业 和 家 庭 访问 。 迄 今 为 止 ，IPv6 还 只 是 被 使 用 在 一 个 比 
PARONA. PATI, BOANRLIESCE, WORT IRS IEME ee OIE, JM 
而 使 IPv6 的 地 位 赶 超 其 老大 哥 Pv4。 为 什么 采用 IPv6 需要 这 人 么 长 的 时 间 ? 这 个 
问题 也 是 在 过 去 15 年 里 人 们 一 直 在 讨论 的 主题 。 答 案 就 是 并 没有 像 电影 《世纪 
骇 客 》 那 样 的 强迫 性 事件 来 逼迫 人 们 需要 在 某 个 截止 时 间 之 前 完成 这 技术 上 的 
升级 。 虽 然 IPv4 地 址 空间 在 某 个 时 刻 已 经 被 耗 尽 ， 但 像 NAT 等 技术 的 产生 延长 
了 IPv4 的 寿命 ， 同 时 也 拖延 了 IPv6 的 采用 。 

尽管 包括 美国 政府 在 内 的 一 些 组 织 已 经 确定 了 它们 IPv6 部 署 的 目标 日 期 ， 
IPv4/IPv6 过 渡 技 术 仍 需要 支持 很 长 一 段 时 间 的 共存 斯 和 过 渡 期 。 但 什么 将 会 成 
为 IPv6 因特网 的 触发 器 ， 并 推动 IPv6 占据 主导 地 位 呢 ? 这 又 将 在 何 时 发 生 ? 移 
动 设备 的 使 用 是 否 会 促使 IPv6 增长 ? 又 或 者 使 可 用 IPv4 地 址 空间 的 消耗 、 云 计 
算 ， 还 是 数据 中 心虚 拟 化 的 激增 呢 ?” 到 底 最 终 使 IPv6 具有 更 加 突出 的 地 位 的 弓 
爆 点 是 什么 呢 ? 答案 是 “以 上 都 是 ”。 

IPv6 的 广泛 采用 将 会 使 这 样 一 个 逻辑 过 程 得 以 实现 ， 它 以 网 络 设备 提供 商 
LIF IPv6 开始 ， 然 后 到 服务 提供 商 ， 再 到 应 用 /内 容 提供 商 ， 最 后 将 其 逐渐 到 企 
业 和 家 庭 使 用 。 目 前 这 个 过 程 正在 顺利 进行 ， 大 部 分 设备 提供 商 和 服务 提供 商 
已 经 实现 了 IPv6。 

2012 年 6 月 ， 美 国 Google (www. google. com), Facebook (www. facebook. com) 、 
Bing (www. bing. com) 和 Yahoo (www. yahoo. com) 等 服务 提供 商 和 内 容 提供 商都 永 
久 性 地 在 其 主页 上 启用 了 IPv6。 这 次 “世界 IPv6 启动 ”是 一 项 重要 的 里 程 碑 ， 标 志 
着 IPv6 在 因特网 上 被 实际 采用 的 开始 。 而 这 产生 的 结果 就 是 ， 因 特 网 协会 报告 有 成 
千 上 万 的 公司 和 网 站 现在 都 支持 IPv6 了 [9 。 横 跨 多 个 产业 的 领头 公司 为 支持 IPv6 都 
做 出 了 重大 投资 ， 说 明 IPv6 正 从 实验 室 中 逐渐 地 应 用 到 商业 生产 环境 中 。 


4.1 制订 一 个 适当 的 计划 


IPv6 的 部 署 已 经 不 是 一 个 “如 果 ” 而 是 一 个 “ 何 时 ”的 问题 了 ， 那 么 如 
何 做 好 准备 呢 ? 无非 就 是 制订 一 个 计划 。 本 书 的 目的 就 是 为 你 在 计划 过 程 中 
提供 帮助 。 拥 有 一 个 可 靠 、 经 过 深思 熟 虑 的 合适 的 计划 ， 将 会 使 部 署 过 程 流 
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水 线 化 ， 并 减少 部 署 时 出 现 意 外 情况 。 部 署 IPv6 的 计划 过 程 现在 就 应 该 开 
始 了 。 

没有 两 个 网 络 是 完全 相同 的 ， 在 为 你 的 网 络 部 署 IPv6 时 ， 网 络 的 具体 
需求 和 基础 设施 元 素 必 须要 得 到 妥善 处 理 。 因 此 ， 你 组 织 内 IPv6 的 部 署 不 
可 能 是 一 项 简单 的 任务 。 另 一 方面 ， 如 果 你 保持 更 新 不 算 太 老 的 路 由 器 、 交 
换 机 和 操作 系统 版 本 等 网 络 基础 设施 ， 那 你 可 能 已 经 处 在 正确 的 道路 上 了 。 
由 于 网 络 内 TCP/IP 的 普遍 性 质 ， 通 过 网 络 核心 的 基础 ，IP 如 同 织物 一 样 被 
编织 进去 ， 所 有 受 影 响 的 群体 内 的 业务 也 都 必须 参与 进去 。 制 定 的 计划 必须 
包括 所 有 主要 的 开 部 门 ,包括 基础 设施 、 网 络 、 安 全 和 应 用 程序 。 对 于 任 
何 参 与 管理 、 监 控 和 采购 (如 虚拟 主机 、 外 部 DNS) 等 IT 服务 的 IT 合作 伙 
伴 ， 当 这 些 组 织 随 着 IPv6 的 部 署 而 功能 可 能 受 影响 时 ， 也 需要 它们 参与 
进来 。 

作为 计划 的 一 部 分 ， 需 要 考虑 的 一 些 关键 点 如 下 : 

e 开发 一 个 业务 案例 ， 以 概述 IPv6 的 好 处 。 要 清楚 这 个 案例 是 什么 ， 为 什 
么 需要 这 个 案例 ， 以 及 与 过 渡 有 关 的 风险 是 什么 。 将 此 呈现 给 高 级 管理 人 员 ， 
并 确保 他 们 有 一 个 坚定 的 认识 从 而 愿意 支持 项 目 。 开 始 时 可 以 将 焦点 集中 在 你 
的 网 络 的 一 个 特定 范围 或 者 子 集 中 ， 以 “试验 ”该 部 署 并 获得 一 个 成 功 的 部 署 
经 历 ， 从 而 为 进一步 的 部 署 起 到 重要 的 影响 ， 这 是 非常 有 意义 的 。 这 个 过 程 在 
本 书 第 1 章 中 已 经 描述 过 了 。 

e 在 你 的 组 织 内 建立 一 个 专门 为 IPv6 负责 的 项 目 工作 小 组 。 要 求 成 员 来 自 
于 各 个 领域 的 开 组 织 及 在 你 整个 组 织 内 的 其 他 受 影响 部 门 。 

ee 了解 你 当前 的 网 络 环境 。 正 如 将 在 本 章 讨 论 的 ， 执 行 你 的 网 络 发 现 系 
统 或 者 使 用 你 当前 的 IP 地 址 管理 (IP Address Management, IPAM) 解决 方 
案 ， 来 绘制 出 你 现 有 的 TP 地 址 空间 。 盘 点 你 现 有 的 基础 设施 和 应 用 。 别 忘 
了 ， 在 开始 IPv47IPv6 共存 之 旅 之 前 ， 需 要 知道 你 的 IPv4 现在 到 哪个 地 
步 了 。 

e 如 果 需 要 的 话 ， 借 助 外 部 资源 。 如 果 需 要 ， 考 虑 使 用 咨询 服务 ， 以 帮助 进 
行 网 络 发 现 、IPv6 规划 、 项 目 管理 和 培训 。 

o 借助 全 组 织 内 关键 的 刷新 间隔 。 在 大 部 分 组 织 内 ， 计 划 中 的 正常 的 硬 
件 和 软件 更 新 都 可 以 作为 你 的 优势 ， 用 已 存在 的 全 更 新 计划 来 调整 IPv6 
“更 新 ”。 

e 制订 与 IPv6 相关 的 寻 址 、 安 全 和 网 络 管理 的 计划 及 路 线 图 。 在 计划 过 程 
中 ， 要 尽早 启动 这 个 部 分 ， 因 为 这 是 很 耗 时 的 ， 而 且 必 须要 有 组 织 内 已 经 存在 
的 安全 架构 的 支持 。 接 下 来 的 三 章 将 分 别 阐述 这 些 领 域 。 
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4.2 IP 网 络 库存 


4.2.1 IPv6 准备 情况 


使 用 IPv6 准备 情况 来 表示 网 络 设 备 、 操 作 系 统 、 终 端 用 户 设 备 、 应 用 程序 
或 网 络 提供 商 的 兼容 性 。 要 知道 ， e a he 同时 也 包 
括 了 软件 、 过 程 和 可 操作 性 知识 在 内 的 整个 IT 功能 。 

你 的 组 织 应 该 建立 一 个 具体 到 网 络 的 IPv6 准备 程序 。 它 应 该 包括 下 面 几 点 : 

e 对 你 当前 IP 地 址 库存 和 使 用 的 回顾 。 

© 对 你 的 网 络 和 计算 基础 设施 关于 IPv6 兼容 性 的 评估 。 这 应 包括 包含 网 络 
服务 在 内 的 硬件 和 软件 。 

e 对 你 的 业务 应 用 程序 的 审查 ， 以 确保 它们 已 为 IPv6 做 好 准备 ， 并 且 能 
在 IPv6 网 络 上 正确 运行 。 

© 对 你 组 织 的 IPv6 技术 能 力 的 评 佑 ， 涉 及 组 织 中 包括 工程 、 运 营 和 支撑 在 
内 的 所 有 角色 。 

o 对 当前 IT 流程 的 回顾 ， 确 保 它们 包括 IPv6。 

© 对 安全 策略 、 体 系 架构 和 实践 的 分 析 。 

e 对 通过 网 络 和 你 的 业务 打交道 的 客户 、 合 作 伙 伴 和 供应 商 系统 的 IPv6 准 
备 情况 的 测定 。 

对 上 述 的 每 个 评估 范畴 ， 你 应 该 确认 并 跟踪 其 详细 的 标准 ， 然 后 将 其 归 类 
为 以 下 三 类 . 

已 经 支持 IPv6。 

© 能 够 升级 IPv6。 

© 不 文 持 或 升级 IPv6。 

为 了 为 你 的 网 络 协助 这 些 评估 领域 ， 本 书 创建 了 一 个 IPv6 准备 情况 模板 。 
你 可 以 使 用 此 模板 进行 确认 和 分 类 IPv6 准备 情况 。 模 板 部 分 将 在 后 面 的 章节 中 
进行 描述 ， 完 整 的 样本 见 本 书 附录 ; 电子 版 本 在 网 址 www. ipamworldwide. com 上 
可 下 载 。 


4.2.2 发 现 

首先 是 要 确定 你 网 络 中 的 每 一 个 组 成 部 分 。 如 果 你 已 经 有 具体 的 网 络 ， 并 
计算 库存 信息 ,那么 恭喜 你 ! 如 果 你 没有 或 者 你 想 核实 这 份 库存 信 息 ， 那 么 可 
以 使 用 网 络 发 现 程序 ， 其 目标 就 是 直接 从 每 个 设备 中 收集 系统 的 详细 信息 A Ñ 
过 使 用 一 个 或 多 个 如 今 许 多 可 用 的 网 络 元 素 / 设 备 发 现 工具 进行 你 的 网 络 设 备 的 
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发 现 ， 会 使 为 IPv6 就 绪 做 准备 的 工作 变 得 非常 地 简单 ， 如 以 下 几 个 工具 : 
® Netformx Discovery ™ 1% 
e HP DDMI (Discovery and Dependency Mapping Inventory ) [7 
© OPNET NetMapper™”! 
这 些 工 具 和 类 似 的 工具 将 为 你 提供 网 络 中 每 个 元 素 的 重要 信息 ， 包 括 供应 
商 、 便 件 版 本 及 运行 在 网 络 设备 上 的 操作 系统 /IOS 版 本 。 


4. 2. 3 IPv6 评估 


接 下 来 的 任务 ， 就 是 将 你 的 网 络 库存 ， 包 括 网 络 和 计算 机 设备 、 软 件 和 应 
用 程序 的 型 号 /版 本 列 出 清单 ， 与 已 发 布 的 每 一 项 IPv6 功能 进行 比较 。 由 于 需要 
把 计算 机 设备 和 软件 与 供应 商 的 数据 表 和 IPv6 准备 情况 报表 进行 比较 ， 因 此 就 
算 有 的 话 也 很 少 有 工具 可 以 自动 完成 这 个 手动 和 烦琐 的 过 程 。 

随 着 评估 阶段 分 析 你 当前 网 络 的 和 硬件、 软件 和 应 用 程序 的 相关 工作 的 进行 ， 
你 可 以 借助 一 些 资 源 ， 它 们 可 以 帮助 你 确定 和 评估 你 的 设备 和 应 用 的 IPv6 功能 。 
这 些 资源 包括 供应 商 信息 、 互 操作 性 测试 实验 结果 ， 以 及 普通 的 关于 IPv6 准备 
情况 的 信息 网 站 。 这 里 列 出 了 一 些 可 以 帮助 你 的 资源 : 

© IPv6 应 用 程序 兼容 性 列表 一 一 美国 威斯康星 大 学 麦迪 逊 分 校 (http: // 
kb. wisc. edu/helpdesk// page. php? id = 11691 ) 。 一 个 关于 IPv6 软件 应 用 程序 兼 
容 性 版 本 信息 和 供应 商 报表 的 集合 。 

© IPv6 Jie FA Sc FF AY Le ee FE A BE (http: //en. wikipedia. org/wiki/Com- 
parison_of_IPv6_application_support) 。 一 个 关于 IPv6 软件 应 用 程序 兼容 性 版 本 信 
息 的 列表 。 信 息 是 有 些 过 时 的 ， 不 过 网 站 确实 有 到 应 用 程序 开发 人 员 网 站 的 链 
接 ， 这 些 网 站 有 更 多 当前 信息 。 

e IPv6 标准 一 一 IETF 的 IPv6 和 IPv6 维护 组 (http: //www. ipv6- to- stand- 
ard. org/ ) 。 一 个 由 IETF 维护 的 数据 库 ， 包 含 一 个 启用 了 IPv6 且 取 得 了 成 功 运作 
IPv6 经 验 产品 的 列表 。 

e IPv6 论坛 一 一 “IPv6 Ready Logo” mH (www. ipv6ready. org) 。 提 供 一 份 
“IPv6 Ready Logo” 项 目 认可 的 软件 和 硬件 设备 列表 。 这 是 一 份 已 经 通过 标识 规 
范 的 测试 并 实现 IPv6 就 绪 状 态 的 软件 和 硬件 列表 。 

© 设备 和 软件 供应 商 一 一 大 多 数 主要 的 设备 和 软件 供应 商都 更 新 了 它们 与 
IPv6 准备 情况 相关 的 网 站 和 IPv6 相关 的 符合 性 声明 。 与 供应 商 紧密 合作 ， 以 确 
保 如 果 它 们 还 没完 全 与 IPv6 兼容 ， 你 也 能 了 解 它们 的 IPv6 发 展 路 线 图 。 我 们 需 
要 真正 的 IPv6 支持 ， 并 仔细 了 解 部 分 兼容 的 全 部 含义 。 

如 果 你 愿意 的 话 ， 不 同 的 供应 商会 为 你 提供 IPv6 的 评估 服务 来 分 担 这 项 任 
务 。IPv6 部 署 评 估 不 仅 包 括 能 够 运行 IPv6 的 硬件 和 软件 。 评 估 必 须 包 括 你 的 IT 
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结构 的 所 有 方面 ， 包 括 以 下 各 方面 : 

e IP 寻 址 。 

e 关键 的 网 络 服务 。 

o 网 络 基础 设备 设施 。 

© 软件 应 用 ， 包 括 现 成 的 和 定制 的 业务 应 用 、 运 营 支 撑 系 统 ( Operational 
Support System, OSS) 应 用 、 监 控 系 统 、 供 应 系统 及 其 他 支持 系统 。 

© 技术 技能 和 知识 。 

e IT 相关 的 过 程 ， 包 括 网 络 管理 。 

© 安全 策略 ， 体 系 架构 和 实践 。 

e 通过 网 络 与 你 进行 业务 交互 的 客户 、 合 作 伙 伴 和 供应 商 系统 。 
4.2.3.1 IP 地 址 评估 

在 IPv6 的 评估 过 程 中 ， 第 一 步 就 是 需要 确定 当前 IP 地 址 的 分 配 。 你 必须 完 
全 了 解 已 经 部 署 的 IPv4 空间 ， 如 何 分 配 和 在 何 处 分 配 ， 以 及 目前 的 使 用 率 情况 。 
如 果 你 正 使 用 免费 的 或 者 市 售 的 IPAM 工具 来 管理 你 的 P 地 址 空间 ， 那 么 对 于 
收集 这 部 分 数据 你 应 该 可 以 有 一 个 良好 的 开端 。 如 果 没 有 的 话 ， 你 就 需要 进行 
IP 地 址 发 现 ， 并 收集 这 部 分 数据 。 你 的 IP 地 址 基础 设施 的 评估 必须 包括 以 下 
几 点 : 

o 根 块 的 分 配 。 收 集 你 的 组 织 当 前 拥有 的 所 有 分 配 列表 (IPv4 和 IPv6， 如 
果 有 的 话 ) ， 并 将 这 些 信息 放置 到 存储 库 。 这 不 仅 包 括 你 从 RIR“ 租 赁 ”的 公共 
地 址 空间 ， 还 有 私有 空间 ， 也 就 是 RFC 1918 空间 。 对 存储 这 部 分 信息 而 言 ， 
IPAM 工具 是 一 个 完美 的 存储 库 ， 不 过 即使 是 一 个 简单 的 电子 表格 也 是 可 以 的 。 
其 中 要 包括 被 分 配给 这 些 块 的 每 一 块 的 技术 和 业务 联系 人 以 供 将 来 参考 。 

© 为 你 每 个 根 块 逐条 分 配 IP 地 址 规划 。 此 计划 包括 描述 网 络 中 IP 地 址 空间 
如 何 分 配 的 一 份 详细 列表 或 图 。 通 常情 况 下 ， 耳 地 址 空间 是 根据 应 用 程序 和 位 
置 来 进行 分 配 的 ， 而 在 大 型 网 络 内 可 能 根据 多 个 层次 进行 分 层 分配 。 这 些 “ 使 
用 ”的 标识 和 每 个 P 地址 分 配 上 的 分 层 ， 以 及 技术 和 管理 联系 人 的 信息 ， 都 是 
值得 拥有 的 。 

e 所 有 关于 你 IP 地 址 分 配 的 IP 使 用 率 信 息 。 有 了 每 个 可 用 的 IP 地 址 分 配 的 
使 用 率 信息 ， 将 会 在 设计 阶段 节省 大 量 的 时 间 。 收 集 这 些 信息 一 般 都 通过 使 用 
网 络 扫描 工具 (捕捉 静态 地 址 分 配 ) 和 通过 从 你 已 经 存在 的 DHCP 服务 器 中 收 
ÆR DHCP 租赁 信息 来 获取 。 目 前 ， 市 场 上 有 几 个 可 用 的 工具 和 服务 ， 使 用 这 类 
工具 和 服务 将 有 助 于 你 的 收集 工作 。 

e 建立 IP 地 址 分 配 策略 。 如 果 你 还 没有 在 你 的 组 织 内 使 用 标准 策略 ， 现 在 
正 是 制定 它们 的 时 候 。 考 虑 使 用 模板 或 者 与 IP 地 址 分 配 同样 模式 的 方法 ， 定 义 
一 个 标准 化 的 方法 以 使 空间 分 配 能 够 继续 深入 发 展 。 层 次 分 配对 于 维持 有 效 的 
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路 由 是 至 关 重 要 的 。 稍 后 将 讨论 相关 的 逻辑 ， 并 在 本 书 第 5 章 帮 助 指导 你 定义 
IP 寻 址 策略 。 

图 4-1 所 示 为 卫 地 址 评估 模板 示例 。 使 用 该 模板 你 能 够 列举 出 从 每 个 RIR 
获取 的 根 地 址 块 。 在 块 地 址 栏 中 用 CIDR 表示 法 列 出 每 个 块 ， 并 为 每 个 块 输入 与 
RIE ae ath Ser Al, a BIR Aas ae, Dine 
时 间 的 推移 你 可 能 要 利用 好 这 一 点 ， 尤 其 是 你 要 更 好 地 使 用 IPv4 或 者 完全 过 渡 
到 IPv6 (虽然 这 个 最 终 状 态 需 要 好 些 年 来 完成 ) 。 如 果 你 已 经 获得 了 一 些 IPv6 
地 址 ， 或 者 如 果 你 正 使 用 相当 于 ULA 空间 的 私有 地 址 进行 实验 ,那么 你 也 可 以 
用 根 和 层次 分 配 来 表示 这 些 IPv6 地 址 。 


功能 区 块 地 址 TTA 评估 下 一 步 的 计划 
IPv4 地 址 空间 


ARIN 根 块 分 配 
RIPE 根 块 分 配 
APNIC 根 块 分 配 
LACNIC 根 块 分 配 
AfriNIC 根 块 分 配 


全 
RFC 1918 根 块 分 配 
TPv6 地 址 空间 
ARIN 根 块 分 配 


RIPE 根 块 分 配 
APNIC 根 块 分 配 
AfriNIC 根 块 分 配 
ULA 根 块 分 配 


4-1 IP 地 址 评估 模板 示例 


“下 一 步 的 计划 ”这 一 列 让 你 可 以 为 一 个 项 目 放 置 一 个 检查 标签 ， 标 签 记 

n o 些 行为 。 例 如 ， 如 果 你 还 没有 获得 IPv6 地 址 空 
间 ， 就 将 IPv6 地 址 空 P e E ca 下 一 步 的 计划 ” 列 中 。 
图 4-2 所 示 为 IP 地 址 根 块 评估 示例 。 这 个 示例 中 给 出 了 一 对 公共 的 IPv4 ER, 
个 ARIN 的 虚拟 分 配 ， 0 另外 ， 还 给 出 了 这 些 块 当前 的 
使 用 率 ， 同 时 也 给 出 了 它们 各 自 的 更 新 日 期 及 一 些 下 一 步 的 计划 。 在 私有 IPv4 
地 址 空间 中 ， 有 一 个 10. 0. 0.0/8 块 和 一 对 因 公 司 收购 而 有 的 192. 168. 0. 0/16 
块 。 对 于 每 一 项 ， 还 有 其 利用 率 和 评 佑 说明。 为 了 IPv6 WATE, MA APNIC 中 
分 配 了 一 个 2001: db8: 4af0:: /48 的 IPv6 块 给 这 个 组 织 。 

为 了 补充 你 的 IP 地 址 评估 ， 需 要 进一步 的 文档 来 描述 你 当前 的 TP 地址 规 
划 ， 以 图 、 列 表 或 者 电子 表格 的 形式 来 描述 一 个 公共 的 和 私有 的 根 块 是 如 何在 
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块 地 址 | 全 用 /和 用 | 评估 | 下 一 步 的 计划 


IPv4 地 址 空间 
ARIN 根 块 分 配 192.0.2.0/24 62% 3/17/2014 过 期 “| 为 IPv4 因 特 网 保留 


RIPE 根 块 分 配 EE 
APNIC 根 块 分 配 。 |198.51.100.0/24 | ”99% |10/22/2013 过 期 | 需要 IPv6 分 配 的 补充 
LACNIC 根 块 分 配 | 

AfriNIC 根 块 分 配 


RFC 1918 根 块 分 配 


10.0.0.0/8 完全 集成 的 
192.168.0.0/16( 主 要 的 ) 分 隔 的 网 络 
192.168.0.0/16( 收 购 的 ) 6 被 收购 公司 网 络 


IPv6 地 址 空间 


ARIN 根 块 分 配 
APNIC 根 块 分 配 eA db8:4af0::/48 a 初始 分 配 用 于 IPv6 部 署 的 块 
| | LACNIC 根 块 分 配 | 


[Aon 
ULA 根 块 分 配 


14-2 IP 地 址 根 块 评估 示例 


你 的 组 织 内 进行 分 配 的 ， 就 像 下 面 10. 0. 0.0/8 根 块 的 示例 一 样 。 尽 可 能 结合 
由 拓扑 对 你 的 地 址 空间 建 模 。 例 如 ， 如 果实 现 了 常见 的 三 层 核心 分 布 访问 拓扑 ， 
那 就 在 每 一 层 表 示 地 址 分 配 情况 ， 就 像 图 4-3 所 示 的 那样 ， 通 过 缩 进 把 每 个 地 址 
块 层次 性 地 展现 出 来 ， 最 顶层 的 是 全 局 分 配 (/8)， 下 一 层 是 大 陆 核 心 层 的 分 配 
(Z12) ， 接 下 来 是 各 自 的 地 区 分 配 (A16) ， 然 后 是 访问 / 子 网 的 分 配 (/24)。 


全 局 分 配 10.0.0.0/8 
南美 洲 分 配 10.0.0.0/12 
东部 10.0.0.0/16 
费城 10.0.0.0/24 
蒙特 利 尔 10.0.0.1/24 
华盛顿 10.0.0.2/24 
中 部 10.1.0.0/16 
A 10.1.0.0/24 
休斯顿 10.1.0.1/24 
丹佛 10.1.0.2/24 
西部 10.2.0.0/16 
IH 10.2.0,0/24 
西雅图 10.2.0.1/24 
圣地 亚 哥 10.2.0.2/24 
欧洲 分 配 10.16.0.0/12 
东部 10.16.0.0/16 
柏林 10.16.0.0/24 
基辅 10.16.1.0/24 
西部 10.17.0.0/16 
伦敦 10.17.0.0/24 
巴黎 10.17.1.0/24 
罗马 10.17.2.0/24 


到 4-3 IP 地 址 层次 分 配 示例 
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4.2.3.2 ”网 络 基础 设施 模板 

网 络 基础 设施 的 模板 提供 了 方便 的 跟踪 表格 ， 可 用 于 记录 和 表示 你 的 核心 
网 络 服务 、 路 由 和 交换 基础 设施 、 终 端 用 户 设备 、 软 件 应 用 程序 和 有 关系 的 客 
户 或 合作 伙伴 等 IPv6 准备 情况 。 下 面 将 依次 讨论 上 述 各 个 领域 。 图 4-4 所 示 为 
网 络 基础 设施 设 佑 综合 模板 示例 ， 可 对 每 个 网 络 组 件 进 行 标识 CIP 地 址 、 应 用 
程序 名 称 、 序 列 号 、MAC 地 址 ， 或 者 任何 跟踪 你 的 设备 和 应 用 程序 的 方式 ) 。 对 
于 每 个 组 件 ， 你 应 该 表示 出 提供 该 组 件 的 供应 商 ， 以 及 硬件 、 操 作 系统 和 其 本 
号 “功能 ”的 当前 版 本 。 例 如 ， 对 于 具有 硬件 平台 和 操作 系统 软件 的 服务 器 ， 
给 出 安装 在 此 服务 器 上 的 DNS 版 本 。 

评估 需要 定义 每 一 个 “ 子 组 件 ” 的 IPv6 能 力 ， 以 确定 其 功能 是 本 来 就 完全 
LIF IPv6， 还 是 需要 升级 或 者 根本 不 文 持 。 通 过 检查 评估 模板 上 对 应 列 中 的 项 
来 找 出 此 项 答案 。 模 板 中 也 提供 了 表示 任何 IPv6 限制 或 警告 的 内 容 ， 还 有 为 
IPv6 升级 或 测试 而 需要 的 其 他 单元 ， 以 及 过 渡 到 具有 IPv6 能 力 的 下 一 步 计 划 。 
现在 就 来 探讨 这 些 领域 的 更 多 细节 。 
4.2.3.3 网 络 服务 

在 这 个 升级 过 程 的 初期 ， 你 的 关键 网 络 服务 也 必须 被 评估 。 这 些 服务 包括 
DNS, DHCP, Radius 和 基本 网 络 所 需 的 其 他 服务 。 如 果 这 些 基本 的 服务 还 未 文 
FF IPv6 的 话 ， 它 们 必须 升级 到 支持 IPv6。 记 住 重要 的 一 点 ， 就 是 要 注意 当 你 在 
查询 每 一 项 服务 的 能 力 时 ， 其 中 一 些 可 能 在 为 网 络 用 户 提供 IPv6 服务 的 同时 也 
需要 通过 进行 配置 和 管理 使 其 支持 耻 w4。 也 就 是 说 ， 有 些 可 能 就 功能 方面 上 而 
言 是 双 协 议 栈 的 。 一 般 来 说 ， 不 能 将 部 署 IPv6 看 做 是 替换 IPv4 ， 应 该 预计 将 会 
在 很 长 一 段 时 间 同 时 支持 IPv4 和 IPw6。 对 你 的 网 络 内 的 每 个 网 络 服务 的 评估 必 
须要 包括 以 下 方面 : 

o 收集 实现 网 络 服务 的 当前 供应 商 。 如 果 网 络 服务 架构 还 不 是 你 整个 网 络 计 
划 或 网 络 图 的 一 部 分 的 话 ， 这 是 一 个 记录 的 好 时 机 。 

e 收集 每 个 实现 的 网 络 服务 的 当前 版 本 。 指 出 每 个 版 本 是 开源 的 或 者 是 商业 
网 络 服务 ， 并 确保 你 了 解 网 络 服务 的 特定 版 本 。 

© 详细 列 出 每 个 网 络 服务 平台 的 当前 硬件 平台 和 操作 系统 。 理 解 和 记录 这 点 
很 重要 ， 因 为 尽管 网 络 服务 可 能 完全 支持 IPv6， 如 果 底 层 的 硬件 和 操作 系统 不 
支持 ,那么 你 就 不 能 够 利用 这 些 IPv6 功能 。 

© 记录 每 个 网 络 服务 当前 版 本 的 IPv6 功能 和 局 限 性 。 与 每 个 网 络 服务 供应 
商 合作 ， 或 者 收集 开源 网 络 服务 有 关 的 信息 ， 从 而 记录 当前 版 本 的 IPv6 能 力 和 
局 限 性 。 如 果 需 要 的 话 ， 供 应 商 应 该 能 够 为 你 提供 一 份 IPv6 准备 情况 说 明 。 

准备 情况 模板 的 网 络 服务 部 分 ， 提 供 了 关于 一 些 网 络 服 务 需 要 考虑 的 具体 
问题 和 要 点 信息 项 的 关键 字段 。 请 一 定 不 仅 要 注意 关于 IPv6 传输 的 IPv6 能 


评估 : 选择 一 项 


、 ， ，， |。 /| 当前 硬件 与 | 操作 系统 | 功能 支 | 项目 完全 | 项 目 支 持 [项 目 不 | IPv6 的 | 需要 的 | 具有 IPV6 功 能 的 
mh a be 目 ID| 当前 厂商 | 当前 版 本 | 操作 系统 支持 IPv6?| 持 IPv6?| 支持 IPv6 具体 限制 | 其 他 单元 | 下 一 步 的 计划 
网 络 服务 

DHCP 
DNS 
NTP/SNTP 


Radius/Diameter 


SMTP/POP/IMAP 


HTTP 
其 他 


网 络 基础 设施 


路 由 器 
核心 交换 机 
分 布 式 /边缘 交换 机 


负载 均衡 器 

应 用 服务 器 

防火 墙 
SAN/NAS 存 储 系 统 


无 线 接 入 点 


IP 电 话 服务 器 
其 他 


/端点 系统 


台式 机 /笔记 本 /工作 站 


平板 电脑 /PDA 


智能 手机 


其 他 手持 设备 


打印 机 


销售 点 设备 


CPE 设 备 
其 他 


软件 应 用 程序 


商业 应 用 1 


网 络 管理 应 用 1 


OSS 应 用 1 


客户 /合作 伙伴 系统 /链接 
合作 伙伴 系统 1 


合作 伙伴 系统 2 


图 4-4 ”网 络 基 础 设施 订 
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而 且 也 要 注意 适当 地 在 “应 用 层 ” 支 持 IPv6 地 址 。 你 可 以 在 模板 中 重复 多 行 ， 
从 而 为 每 个 网 络 服务 提供 复查 其 已 服务 的 范围 的 机 会 ， 以 帮助 确定 潜在 的 能 
问题 。 

如 果 你 每 项 服务 使 用 多 个 供应 商 或 者 可 能 只 有 一 个 供应 商 ， 或 如 果 你 想 要 
跟踪 这 种 详细 程度 ， 需 要 的 话 对 于 一 个 给 定 的 网 络 服务 你 可 以 有 多 个 行 。 评 佑 
列 应 该 被 用 来 表示 每 个 网 络 服务 是 否 能 够 同时 满足 IPv4 和 IPv6 的 要 求 ， 可 通过 
软件 升级 或 硬件 升级 ， 以 及 软件 和 硬件 同时 升级 ; 或 者 选择 不 支持 。 

你 可 以 检查 一 个 评估 列 ， 然 后 将 这 样 的 规定 表示 在 “下 一 步 的 计划 ” 列 ， 
并 适当 地 在 采购 清单 或 者 “需要 的 其 他 单元 ” 列 中 增加 一 项 。 图 4-5 所 示 为 包 
含 一 组 ISC 和 微软 DHCP 服务 器 的 网 络 评 佑 示例。 在 此 ,我们 “放大 ”了 工作 
表 的 一 部 分 ， 其 中 记录 了 每 个 服务 的 相关 信息 、 各 自 的 IPv6 能 力 和 评估 ， 以 及 
下 一 步 的 计划 。 

在 某 些 情况 下 ， 即 使 当前 的 网 络 服务 可 同时 支持 IPv4 和 IPv6， 你 可 能 还 是 
想 要 添加 一 项 网 络 服务 到 采购 清单 中 。 这 一 策略 则 在 将 修改 一 个 工作 的 IPv4 配 
置 ， 以 使 其 同时 支持 未 经 证 实 的 IPv4 和 IPv6 配置 的 风险 降 到 最 低 。 你 的 评估 应 
该 说 明 这 一 点 ， 不 管 添加 一 个 新 的 网 络 服务 是 由 于 功能 上 的 原因 ， 还 是 需要 / 想 
要 降低 风险 。 隔 离 IPv6 网 络 服务 流量 可 以 帮助 其 专注 在 IPv6 操作 中 而 不 影响 
IPv4 操作 ， 直 到 达到 一 个 较 合 适 的 IPv6 水 平 。 另 外 ， 如 果 你 没有 可 用 的 服务 器 
用 于 部 署 的 测试 阶段 ， 那 你 可 能 非常 渴望 为 你 的 测试 实验 室 采 购 一 个 或 者 多 个 
网 络 服务 服务 器 。 总 之 ， 如 果 一 个 特定 的 网 络 服务 需要 任何 形式 的 升级 、 更 换 、 
补充 或 实验 室 安装 ， 那 就 在 “下 一 步 的 计划 ” 列 中 记录 此 项 内 容 。 
4.2.3.4 ”网 络 基础 设施 设备 

虽然 许多 硬件 和 应 用 程序 供应 商 在 各 种 各 样 的 功能 上 支持 IPv6, 但 是 可 能 
需要 硬件 或 软件 升级 。 大 部 分 不 算 太 老式 的 网 络 基 础 设备 和 软件 已 经 至 少 在 一 
定 程度 上 支持 IPv6 了 。 要 确定 打算 使 用 的 特定 IPv6 功能 ， 如 移动 IPv6 或 地 址 自 
动 配置 ， 并 核实 每 个 供应 商 提 供 的 功能 支持 。 
供应 商 应 该 能 够 为 你 提供 所 需要 的 IPv6 准备 情况 和 它们 设备 的 功能 的 所 有 
细节 。 也 有 一 些 在 因特网 上 提供 的 可 用 资源 ， 特 别 是 IPv6 的 互 操作 性 实验 室 已 
经 证 明了 IPv6 测试 和 互 操作 性 测试 的 结果 。 为 了 完成 你 的 评估 ， 请 完成 以 下 
几 点 : 

e 详细 列 出 实现 网 络 设备 当前 的 供应 商 和 型 号 。 如 果 你 的 组 织 还 没有 适当 的 
网 络 设备 资产 系统 ， 这 可 能 是 去 实现 一 个 的 好 时 机 。 

e 列举 出 在 网 络 设备 上 运行 的 操作 系统 和 软件 的 当前 版 本 。 如 果 你 的 组 织 党 
未 标准 化 操作 系统 代码 等 级 ， 这 可 能 也 是 个 好 时 机 。 

© 确定 当前 设备 的 IPv6 能 力 和 局 限 性 。 与 供应 商 合 作 ， 或 通过 收集 开源 网 


10.200.0.11 


当前 | 当前 硬件 与 


版 本 


评估 : 选择 一 项 


操作 系统 | 功能 支持 | 项 目 完 全 | 项 目 支 持 | 项 目 不 支 IPv6 的 需要 的 
? | 支持 IPv6 | IPv6 升 级 | 持 IPv6 具体 限制 其 他 单元 


具有 IPv6 功 能 的 
下 一 步 的 计划 


升级 到 ISC 4.2 


10.16.35.98 


RHEL v5 


172.19.23.55 


Windows 2003 


升级 到 2008R2 


10.104.39.213 


2008R2 |Windows 2008R2 


图 4-5 


包含 一 组 ISC 和 微软 DHCP 服务 器 的 网 络 评估 示例 
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络 服务 有 关 的 信息 ， 记 录 当 前 版 本 的 IPv6 能 力 和 局 限 。 如 果 需 要 的 话 供应 商 应 
该 能 够 为 你 提供 一 份 IPv6 准备 情况 的 说 明 。 

正如 模板 中 的 网 络 服 务 部 分 一 样 ， 可 能 需要 为 你 的 网 络 中 实现 的 每 个 网 络 
基础 设施 重复 多 行 以 单独 跟踪 每 个 设备 和 应 用 ， 或 者 你 可 能 想 通过 类 型 和 版 本 
进行 简单 的 概括 。 指 出 传输 层 和 处 理 层 的 IPv6 能 力 。 对 于 那些 需要 软件 和 /或 硬 
件 升 级 或 替换 的 元 素 ， 在 “下 一 步 的 计划 ” 列 中 指出 具体 细节 。 同 时 在 “需要 
的 其 他 单元 ” 列 中 指出 任何 用 于 备用 或 实验 室 安 装 的 所 需 采 购 信 息 。 
4.2.3.5 终端 用 户 / 端 点 设备 

大 部 分 组 织 内 的 大 多 数 设备 都 是 由 终端 用 户 和 端点 设备 组 成 的 。 终 端 用 户 设 备 
还 常 包括 最 广泛 多 样 性 的 设备 类 型 ， 特 别 是 如 今 公司 网 络 中 自 带 设备 的 激增 ， 其 数 
量 和 多 样 性 也 在 增长 。 从 服务 供应 商 的 角度 来 看 ， 端 点 设备 可 能 包括 客户 端 设备 ， 
如 客户 边缘 路 由 器 ， 或 无 线 电 、 光 纤 、DSL， 或 电缆 调制 解 调 峰 。 

与 所 有 连接 到 你 的 网 络 的 其 他 硬件 和 软件 一 样 ， 所 有 终端 用 户 和 端点 设备 
应 该 在 可 能 的 范围 内 被 评估 。 不 像 网 络 设备 ， 大 多 数组 织 在 其 上 都 有 标准 化 的 
首选 供应 商 和 型 号 ， 端 点 设备 可 能 变化 相当 多 样 ， 而 且 数 量 庞大 的 不 同 设备 类 
型 可 能 需要 一 些 额 外 工作 以 进行 适当 的 IPv6 准备 情况 评估 。 我 们 建议 首先 要 关 
注 一 些 关 键 的 设备 ， 如 笔记 本 、 台 式 机 、 打 印 机 、VolP 电话 、 销 售 终端 及 手持 
设备 等 对 业务 非常 关键 的 设备 。 

为 了 完成 你 的 评估 ， 请 完成 以 下 几 点 : 

© 详细 列 出 正在 你 的 网 络 上 使 用 的 终端 用 户 / 端 点 设备 的 当前 供应 商 和 型 号 。 
如 果 为 员工 提供 笔记 本 和 台式 机 ， 那 么 你 很 可 能 已 经 有 一 个 可 以 查询 的 资产 数 
据 库 了 。 

e 列举 出 在 这 些 设备 上 运行 的 当前 操作 系统 和 软件 版 本 。 首 先 要 集中 在 最 关 
键 的 系统 上 。 

© 确定 当前 设备 的 IPv6 能 力 和 局 限 性 。 与 供应 商 合 作 ， 或 通过 收集 开源 网 
络 服务 有 关 的 信息 ， 记 录 当 前 版 本 的 IPv6 能 力 和 局 限 性 。 如 果 需 要 的 话 供应 商 
应 该 能 够 为 你 提供 一 份 IPv6 准备 情况 的 说 明 。 

通过 逐 行 完成 评估 表格 中 的 项 ， 对 每 个 终端 用 户 设备 类 型 的 版 本 进行 评估 ， 
并 完成 每 一 项 评估 。 测 试 每 个 设备 类 型 IPv4 和 IPv6 的 协议 栈 ， 以 及 计划 中 的 隧 
道 技术 的 支持 度 。 如 果 打 算 使 用 翻译 技术 ， 那 么 你 的 预 部 署 测试 计划 中 要 包括 
对 常见 的 终端 用 户 设备 的 测试 ， 以 确保 实现 正常 的 通信 ， 这 将 在 本 书 第 8 章 
讨论 。 

为 每 一 设备 类 型 适当 地 测试 其 通用 或 共同 的 应 用 ， 以 识别 出 任何 IPv6 地 址 
表示 或 DNS 处 理 的 问题 。 对 于 识别 出 的 任何 问题 ， 咨 询 相应 的 供应 商 。 对 于 任 
何 检测 到 的 缺陷 ， 将 其 记录 在 相应 “具体 的 IPv6 限制 ” 列 中 并 将 解决 途径 记录 
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在 “下 一 步 的 计划 ” 列 中 。 此 外 ， 可 能 需要 采购 一 些 能 满足 你 的 IPv6 准备 情况 
评估 的 设备 类 型 ， 不 过 要 提醒 你 这 些 设备 类 型 需要 预 部 署 测 试 。 
4.2.3.6 软件 应 用 

正如 大 多 数 人 非常 清楚 的 ， 将 关键 业务 应 用 、 管 理 软件 或 自 定 义 编码 系统 
升级 到 一 个 新 的 版 本 ， 本 身 就 可 以 成 为 一 项 重大 工程 。 在 整个 过 程 的 早期 就 获 
得 一 份 准确 且 完 整 的 软件 应 用 清单 ， 是 非常 重要 的 。 由 于 需要 等 待 供应 商 完 成 
发 布 版 本 ， 并 在 内 部 进行 测试 ， 然 后 才 方 便 项 目的 部 署 ， 故 而 升级 软件 的 交付 
周期 可 能 会 很 长 。 幸 运 的 是 ，IPv6 已 经 提 上 日 程 很 长 一 段 时 间 了 ， 大 多 数 供应 
商 已 经 添加 了 或 者 在 这 个 过 程 中 添加 了 IPv6 支持 。 

评估 需要 包括 以 下 方面 : 

© 详细 列 出 实现 的 软件 的 当前 供应 商 。 如 果 你 的 组 织 还 没有 适当 的 软件 资产 
系统 ， 这 可 能 是 去 实现 一 个 的 好 时 机 。 

© 表示 出 每 个 处 于 运行 的 软件 的 当前 版 本 。 

e 记录 下 各 组 件 的 依赖 关系 ， 如 数据 库 供应 商 和 版 本 ， 并 评估 每 个 组 件 的 
IPv6 准备 情况 。 

e 列 出 每 个 应 用 的 功能 。 

e 通过 与 供应 商 或 软件 开发 人 员 合作 ， 识 别 并 记录 当前 软件 的 IPv6 能 力 和 
局 限 性 。 如 果 需 要 的 话 ， 供 应 商 应 该 能 够 为 你 提供 一 份 IPv6 准备 情况 的 说 明 。 

与 网 络 服务 和 网 络 基础 设施 一 样 ， 可 以 逐条 检查 网 络 中 使 用 的 每 个 业务 、 网 络 
管理 和 OSS 应 用 。 对 于 每 一 项 ， 确 定 其 IPv6 能 力 和 局 限 性 ， 并 确定 为 实现 对 IPv6 的 
支持 所 需 采 取 的 行动 。 确 保 测 试 了 4. 2. 3.5 节 提 到 的 终端 用 户 设备 中 应 用 程序 的 “ 客 
户 ” 端 。 别 忘 了 为 需要 升级 、 补 充 或 更 换 的 应 用 更 新 “下 一 步 的 计划 ” 列 。 
4.2.3.7 客户、 合作 伙伴 和 供应 商 系统 

任何 通过 网 络 与 你 的 业务 交互 的 客户 、 合 作 伙 伴 和 供应 商 的 系统 ， 都 需要 检查 
其 兼容 性 。 在 许多 情况 下 ， 需 要 与 你 的 合作 伙伴 和 供应 商 制定 一 个 计划 ， 以 允许 
IPv6 流量 通过 。 确 定 为 使 合作 伙伴 和 供应 商 系统 符合 IPv6 规定 而 需要 的 具体 升级 和 / 
或 配置 参数 的 变化 ， 并 将 那些 需要 采取 的 行动 记录 在 “下 一 步 的 计划 ” 列 中 。 
4.2.3.8 过 程 、 实 践 与 工作 人 员 准 备 情况 

除了 IP 地 址 和 网 络 基础 设施 之 外 ， 第 三 个 主要 的 评估 领域 就 是 需要 评估 现 
有 的 管理 和 安全 实践 与 过 程 ， 同 时 还 有 IPv6 工作 人 员 的 整体 准备 情况 。 图 4-6 
所 示 为 过 程 与 工作 人 员 准 备 情况 评估 模板 示例 。 

在 对 应 条 目 中 详细 列 出 每 个 过 程 和 工作 人 员 。 对 于 每 个 过 程 ， 确 定 IPv6 是 
否 被 考虑 进去 了 。IPv6 需要 被 以 某 种 形式 添加 到 大 部 分 的 安全 和 管理 过 程 与 实 
践 中 。 根 据 各 自 的 角色 ,工作 人 员 如 果 不 是 IPv6 方面 的 专家 ， 那么 也 要 在 其 他 
对 应 的 方面 非常 精通 。 
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| IPv6 就 绪 或 认证 ? | 混合 IPv6 下 一 步 的 计划 


IT 管理 过 程 


过 程 1 
过 程 2 


安全 过 程 
过 程 1 
过 程 2 


工作 人 员 准 备 情况 
网 络 架 构 师 1 
网 络 工程 师 / 分 析 师 1 
网 络 技术 员 1 
ITH A LEA BI 


图 4-6 过程 与 工作 人 员 准 备 情况 评估 模板 示例 


4.2.3.9 技术 技能 与 知识 

工程 师 培 训 是 IPv6 部 署 的 一 个 重要 组 成 部 分 。 虽 然 也 有 一 些 用 于 IPv6 技术 
培训 的 可 用 资源 ， 但 是 IPv6 论坛 发 起 了 一 项 IPv6 教育 认证 计划 ， 以 促进 IPv6 培 
训 计 划 的 一 致 性 。 该 计划 的 目的 是 帮助 鼓励 和 加 快 IPv6 的 教育 ， 并 促进 加 快 
IPv6 的 采纳 速度 。 有 几 家 厂商 提供 了 IPv6 的 课程 。 要 认 准 具有 IPv6 培训 和 获得 
IPv6 认证 标志 的 课程 的 供应 商 。IPv6 论坛 提供 了 一 个 包含 IPv6 认证 讲师 名 单 的 
数据 库 。 值 得 注意 的 一 些 组 织 如 下 : 

e IPv6college Tonex 的 一 个 业务 部 门 。 

e Nephos6, 

e 0Deploy。 

对 于 每 个 位 置 类 型 ， 列 出 每 一 个 工作 人 员 及 他 /她 的 目前 IPv6 的 专业 知识 水 
平 ， 还 有 达到 所 期 望 的 水 平 所 需要 的 相应 培训 。 如 果 有 工作 人 员 已 经 达到 了 他 
们 位 置 上 所 需 的 IPv6 专业 知识 水 平 ， 那 么 你 就 可 以 不 填 “ 下 一 步 的 计划 ” 列 ， 
否则 在 该 栏 里 注 明 推荐 的 IPv6 培训 课程 。 
4.2.3.10 IT 相关 的 过 程 

每 个 开 组织 都 有 IT 相关 的 过 程 ， 有些 比 其 他 组 织 更 规范 。 如 果 使 用 ITIL 程 
序 来 管理 IT 网络， 那么 你 就 可 以 列举 出 每 个 过 程 域 ， 并 评估 其 IPv6 的 准备 情 
况 。 确 保 你 的 计划 阶段 要 包括 这 些 过 程 ， 并 进行 修正 使 其 包含 IPv6 相关 的 支持 。 
在 “下 一 步 的 计划 ”中 ， 要 对 每 个 过 程 定义 需要 更 新 的 文档 ， 以 及 与 受 影响 团 
队 所 需 的 通信 沟通 。 
4.2.3.11 安全 策略 、 体 系 架构 和 实践 

虽然 IPv6 是 将 安全 性 考虑 在 内 进行 开发 的 ， 但 把 ITPv6 引入 到 网 络 中 仍 将 对 
网 络 现 有 的 安全 性 提出 重大 的 挑战 。 你 组 织 的 安全 架构 需要 进行 审查 和 修改 以 
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使 其 包括 IPv6 。 本 书 第 6 章 将 对 安全 系统 配置 方面 详细 地 讨论 安全 性 。 而 此 时 ， 
先 确认 能 够 处 理 IPv6 数据 报 。 当 读本 书 第 6 章 时 ， 你 可 能 会 发 现 需 要 详细 的 过 
滤 功 能 ， 以 推动 进一步 细 化 对 升级 或 替换 安全 人 硬件 与 /或 软件 的 评估 。 审 查 并 评 
估 以 下 方面 : 

e IPv4 部 署 架构 问题 。 审 查 与 你 的 部 署 类 型 有 关 的 具体 漏洞 ， 这 将 作为 一 
个 重要 的 安全 基线 。 

© IPv6 入 侵 检测 系统 。 

© IPv6 防火 墙 能 

e 专门 针对 IPv6 安全 的 软件 /硬件 补丁 。 

图 4-7 所 示 为 已 部 分 完成 的 过 程 和 工作 人 员 评 佑 示例 。 


功能 域 项 目 IPv6 就 绪 或 认证 ? 


EE: = 
发 布 管理 过 程 文档 已 更 新 ; 需要 实验 验证 


[| PO 配置 方面 需要 被 加 到 这 一 过 程 ,并 测试 
[| | 


| | 
PE a ea 
监控 防火 墙 日 志 | 更 新 了 IPv6 策 略 | 需要 运行 测试 用 例 来 验证 防火 墙 日 志 并 记录 方法 和 步 又 


| Be 更 新 了 IPv6 策 略 | 在 部 署 之 前 需要 在 实验 室 进行 测试 


工作 人 员 准 备 情 况 

| lSteveJones | 是 |2010 年 获得 认证 一 可 参加 一 个 进修 班 

[May Thompson 是 | 2012 年 获得 认证 
Julia Starkly 否 安排 培训 一 概述 ， 网 络 工程 

Greg Libar T 安排 培训 一 概述 ， 网 络 工程 

Mark Alexander T 安排 培训 一 概述 ， 帮 助 台 


图 4-7 已 部 分 完成 的 过 程 与 工作 人 员 评 佑 示例 


混合 IPv6 下 一 步 的 计划 


4.3 IPv6 待 办 事件 清单 


一 且 完 成 了 评估 阶段 ， 你 应 该 有 一 份 网 络 中 所 有 硬件 、 软 件 、 应 用 和 终端 
用 户 设备 的 统一 详细 说 明 。 在 每 份 完 成 的 评估 模板 中 , “下 一 步 的 计划 ” 列 提 
供 了 一 份 关 于 所 有 需要 路 不 同 部 门 的 下 一 步行 动 内 容 的 摘要 。 基 于 对 每 个 这 
些 项 目的 评估 ， 为 每 个 需要 进行 升级 、 更 换 、 补 充 或 实验 室 采购 ， 从 而 实现 
遵守 IPv6 和 /或 支持 IPv6 部 署 测试 的 项 目 。 你 可 以 创建 一 个 IPv6 的 补救 或 
“ 待 办 事项 ”列表 。 过 程 更 新 和 培训 的 下 一 步 的 计划 也 是 待 办 事件 列表 的 关键 
部 分 。 

对 于 那些 需要 采购 的 待 办 项 目 ， 你 可 以 生成 一 个 需要 定价 的 采购 清单 。 定 
价 需要 在 一 个 较 高 的 水 平 上 ， 以 确定 潜在 的 资本 成 本 。 随 着 收集 到 了 更 多 的 细 
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节 ， 该 信息 应 该 被 反馈 到 实际 的 业务 案例 中 ， 从 而 进一步 优化 完善 。 由 于 高 成 
本 或 缺乏 利益 的 缘故 ， UT e a e a 
的 元 素 ”应 当 记录 在 你 的 网 络 资源 库 中 。 为 了 保持 在 预算 内 ， 你 可 能 还 需要 相 
应 缩减 所 需 的 实验 室 采 购 开 销 。 理 想 情 况 下 ， 你 应 该 要 优先 考虑 采购 清单 ， 从 
而 在 必要 时 帮助 确定 从 最 好 的 情况 到 必要 的 最 低 投 入 资金 的 范围 。 你 的 采购 清 
! 内 的 关键 利益 相关 者 以 获取 批准 。 不 要 忘记 利用 上 你 IT 
组 织 内 的 计算 更 新 时 间 间 隔 。 发 生 在 大 多 数组 织 内 的 正常 的 IT 更 新 可 以 被 充分 
的 利用 ， 并 与 已 有 的 整个 开 计划 保持 一 致 。 


4.4 IPv6 准备 情况 评估 总 结 


图 4-8 所 示 的 IPv6 准备 情况 评估 基本 过 程 ， 以 流程 图 的 形式 进行 了 总 结 。 
清查 你 的 IP 网 络 和 包括 过 程 与 人 在 内 的 支撑 结构 的 方方面面 ， 对 于 定义 你 的 出 
发 点 及 在 你 的 网 络 和 /或 你 所 选择 的 网 络 范围 的 内 部 署 IPv6 的 所 做 的 事项 来 说 ， 
是 非常 关键 的 。 


开始 IPv6 
准备 情况 
评估 过 程 


能 的 趋势 或 
补救 措施 


确定 IPv6 功 | 


为 补救 措施 
确定 时 间 、 
人 员 、 资金 、 
费用 


图 4-8 IPv6 准备 情况 评估 基本 过 程 
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IPv6 准备 情况 评估 阶段 输出 的 是 一 个 完整 的 网 络 库存 清单 ， 列 出 所 有 的 基 
础 设施 和 用 户 设备 ， 以 及 IPv4 和 IPv6 地 址 分 配 的 库存 。 对 应 网 络 中 的 地 址 块 
(RA), TRA DHCP 地 址 池 ， 该 耳 地 址 库存 清单 应 该 可 以 被 拓扑 映射 到 卫 网 
络 中 。 许 多 卫 地 址 管理 (IPAM) 解决 方案 集成 了 这 个 功能 ， 所 以 发 现 过 程 仅 是 
验证 IPAM 数据 库 。 如 果 你 还 未 利用 IPAM 解决 方案 ， 或 你 的 IPAM 解决 方案 从 
地 址 块 到 子 网 再 到 地 址 池 或 单个 地 址 的 分 配 都 不 覆盖 完整 的 IP 地 址 的 生命 周期 ， 
那么 这 个 映射 将 需要 手动 进行 。 如果 地 址 块 和 子 网 的 分 配 已 记录 在 电子 表格 或 
其 他 存储 库 中 ， 则 这 项 信息 将 是 此 过 程 很 有 用 的 输入 。 

首先 需要 一 个 自 顶 向 下 的 IP 地 址 规划 作为 IPv4“ 计 划 ” 的 基线 ， 从 而 为 你 
的 IPv6 地 址 的 覆盖 过 程 提供 坚实 的 基础 。 你 的 IPv6 覆盖 程度 将 取决 于 所 选择 的 
部 署 范围 。 如 果 打 算 操 作 一 个 完全 双 协 议 栈 的 网 络 ， 那 就 需要 在 你 具有 IPv4 的 
所 有 地 方 分 配 IPv6 空间 。 如 果 最 初 计 划 只 是 在 面向 因特网 的 基础 设施 上 支持 
IPv6， 那 分 配 将 被 限制 在 你 网 络 的 这 个 子 集 中 。 合 作 伙 伴 链 接 的 支持 ， 是 需要 考 
虑 分 配 的 问题 ， 同 时 也 要 尽 可 能 考虑 对 本 书 第 3 章 讨论 过 的 隧道 和 翻译 技术 的 
支持 。 不 管 怎样 ， 你 的 IPv6 覆盖 将 以 从 RIR 或 ISP 获得 的 地 址 块 开 始 。 下 面 将 
详细 介绍 这 个 IPv6 地 址 的 层次 结构 。 


5.1 因特网 注册 管理 机 构 


IP 地 址 在 一 个 给 定 的 网 络 中 必须 是 唯一 的 2 ， 才 能 进行 正确 的 路 由 与 通信 。 
那么 怎么 在 整个 全 球 因特网 中 保证 这 个 唯一 性 呢 7 IANA 为 [Pv4 和 IPv6 负责 其 
IP 地 址 空间 的 全 局 分 配 ; 同时 还 有 用 于 TCPZIP 的 其 他 参数 的 分 配 ， 如 应 用 程序 
的 端口 号 。 实 际 上 ， 你 可 以 通过 浏览 www. iana. org 网 站 并 在 对 应 数字 资源 下 选 
择 “IPv4 地 址 空间 ”或 “IPv6 地 址 空间 ”来 查看 这 些 顶级 分 配 571 。 

IANA 本 质 上 是 最 上 层 的 地 址 注册 机 构 ， 它 将 地 址 空间 分 配给 多 个 RIR。 本 
书 第 1 章 已 经 介绍 过 的 RIR， 它 是 负责 将 从 IANA 获取 到 的 对 应 的 地 址 空间 分 配 
给 其 各 自 的 全 球 地 区 组 织 ， 为 方便 起 见 ， 下 面 列 出 了 各 RIR 组 织 。 


一 陈述 的 一 个 例外 是 任 播 地 址 通常 是 分 配给 多 个 主机 的 ， 而 多 播 地 址 同样 也 是 共享 的 。 本 语句 


OR 
适用 于 单 播 地 址 。 
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e 非洲 网 络 信息 中 心 ( African Network Information Centre, AfriNIC) 。 非洲 
WK”, 

e 亚太 网 络 信息 中 心 (Asia Pacific Network Information Centre ，APNIC ) 。 亚 
MKPK 。 

e 美 网 因特网 地 址 注册 管理 组 织 (American Registry for Internet Numbers, 
ARIN ) 。 北 美 地 区 ， 包 括 波多 黎 各 和 部 分 加 勒 比 地 区 -1 。 

e 拉丁 美洲 和 加 勒 比 地 区 IP 地 址 注册 管理 机 构 (Regional Latin American 
and Caribbean IP Address Registry, LACNIC) 。 拉丁 美洲 和 加 勒 比 群岛 ”1 , 

e 欧洲 IP 网 络 资讯 中 心 (Reseaux IP Europeens Network Coordination Centre, 
RIPE NCC), BW, PRAP, 

RIR 系统 的 目标 如 下 : 

。 唯一 性 。 每 个 用 于 全 球 因特网 路 由 的 IP 地 址 必须 是 全 世界 唯一 的 。 

。 注册 。 一 个 可 公开 访问 的 IP 地 址 分 配 的 注册 表 ， 能 够 消除 卜 义 ， 并 在 解 
决 纷争 时 提供 帮助 。 这 个 注册 表 被 称 为 查询 数据 库 。 如 今 已 有 很 多 的 查询 数据 
Pe, 不 仅 由 RIR 管理 ， 同 时 也 由 LIR/ISP 管理 各 自 的 地 址 空间 。 

。 聚合 性 。 分 层 分 配 地 址 空间 ， 以 确保 IP 流量 的 正确 路 由 。 如 果 没 有 聚合 
性 ， 路 由 表 将 会 变 得 文 离 破碎， 最终 可 能 会 在 因特网 中 造成 巨大 瓶颈 。 聚 合 性 
被 认为 是 IPv6 分 配 最 重要 的 目标 。 

。 避免 浪费 。 特 别 是 对 于 了 4 ， 但 对 IPv6 也 一 样 ， 地 址 空间 需要 根据 实际 
使 用 情况 的 要 求 进 行 分 配 。 

。 公平 性 。 在 真实 地 址 需求 而 非 长 期 “计划 ”的 基础 上 公平 地 进行 地 址 
分 配 。 

。 简化 管理 开销 。 简 化 请 求 和 获取 初始 分 配 与 后 续 分 配 的 过 程 。 

每 个 组 织 要 遵循 这 些 目 标 做 好 它们 自己 的 网 络 ， 特 别 是 唯一 性 、 注 册 R 
踪 )、 聚 合 性 和 避免 浪费 这 几 点 。 本 章 将 讨论 的 分 配方 法 ， 类 似 把 地 址 块 分 配给 
RIR ， 再 通过 RIR 分 配给 国家 或 地 方 的 互联 网 注册 管理 机 构 ， 然 后 再 依次 分 配给 服 
务 提供 商 和 终端 用 户 。RIR 的 分 配 指 南 记录 见 REC 2050 (本 书 参考 文献 [4])。 
一 般 的 地 址 分 配 层次 结构 是 自 顶 向 下 的 IP 地 址 分 配 ， 如 图 5-1 所 示 。 国 家 互联 网 
注册 管理 机 构 类 似 地 方 互联 网 注册 管理 机 构 , 但 是 在 国家 层面 上 组 织 的 。 

早 在 20 世纪 80 年 代 和 90 年 代 初 ， 许 多 企业 (图 5-1 所 示 的 终端 用 户 ) 都 
是 直接 从 RIR 获得 地 址 空间 的 。 然 而 ， 在 转变 为 CIDR 寻 址 以 提供 进一步 的 地 址 
分 配 责任 下 放 的 过 程 中 ， 额 外 的 LIR/ISP 层 被 加 入 进来 了 。 如 今 ， 大 部 分 组 织 都 
是 从 LIR 或 ISP 获取 地 址 空间 的 。 尽 管 RIR 推荐 使 用 一 致 性 策略 以 最 大 限度 地 
提高 效率 ， 获 取 这 些 地 址 空间 的 过 程 一 般 是 由 与 你 有 业务 往来 的 LIR/ISP 决 
定 的 。 
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ARIN 


区 域 IR/ EEA A x see 国有 
ISP ISP ISP 


图 5-1 自 顶 向 下 的 IP 地 址 分配 站 


当空 间 被 分 配给 一 个 ISP 时 ,该 ISP 可 能 就 会 在 因特网 上 公布 其 地 址 空间 。 
加 入 的 LIR/ISP 层 有 助 于 在 因特网 上 的 路 由 聚合 。 由 相同 ISP 服务 的 多 个 客户 在 
因特网 上 可 以 归纳 为 一 个 路 由 。 如 果 业 务 发 展 良 好 ， 且 LIRIS 需要 更 多 的 地 址 
空间 ， 则 其 可 以 从 它们 的 RIR 那里 申请 额外 的 空间 。 每 个 RIR 一 般 都 有 为 满足 
地 址 请 求 而 自 定 义 的 过 程 ， 因 此 ， 请 咨询 你 所 在 地 区 的 RIR 以 获取 更 多 细节 。 


5.1.1 RIR 地 址 分 配 策略 


从 RIR 角度 上 看 ，RIR 分 配 地 址 空间 给 多 个 LIRZISP， 然 后 LIR/ISP 再 把 地 
址 空间 指派 给 它们 的 客户 。 从 技术 上 讲 ， 术 语 分 配 是 指 对 于 一 个 IP 地 址 块 ， 将 
其 作为 一 个 地 址 空间 “ 池 ”， 可 以 从 这 个 地 址 空间 “ 池 ” 提 取 地 址 指派 给 客户 。 
之 后 ， 客 户 就 可 以 使 用 已 分 配 的 地 址 空间 ， 从 中 分 配 块 和 子 网 ， 然 后 从 已 分 配 
的 子 网 中 指派 IP 地 址 给 单个 主机 。 这 种 分 配 和 指派 机 制 是 基于 即将 在 本 章 描 述 
的 过 程 的 ， 其 与 层次 分 配 过 程 是 一 致 的 。 然 而 ，RIR 是 将 分 配 的 空间 与 指派 的 
空间 区 分 开 来 的 ， 因 为 指派 的 空间 包含 正在 使 用 的 地 址 ;而 分 配 的 空间 是 用 于 
进行 分 配 的 地 址 池 ， 一 开始 为 未 使 用 , 但 理论 上 随 着 时 间 的 推移 和 指派 空间 数 
量 的 增长 ， 其 利用 率 也 会 随 着 增长 。 从 技术 上 讲 ，RIR 将 分 配 的 空间 与 指派 的 
空间 都 看 成 是 在 使 用 中 的 ,但 保留 了 审计 实际 地 址 利用 率 能 力 ， 以 便 处 理 每 个 
LIR/ISP 后 续 的 额外 分 配 请 求 。 


5.1.2 地 址 分 配 效 率 


在 IPv6 开发 期 间 ， 许 多 研究 都 是 集中 在 128 位 地 址 大 小 。 虽 然 IPv4 提供 了 
一 个 32 位 的 地 址 字段 ， 从 而 提供 了 理论 上 最 大 的 2” 个 地 址 或 超过 42 亿 个 的 地 
址 ， 但 实际 上 理论 的 最 大 值 远 远 小 于 42 亿 。 这 是 由 于 地 址 空间 的 分 配 是 从 网 络 
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的 多 个 层次 ， 然 后 是 子 网 ， 最 后 是 主机 进行 分 层 分 配 的 。RFC 1715 (BABS 
考 文献 [79]) 提供 了 一 种 分 析 地 址 分 配 效 率 的 方法 ， 提 出 了 将 一 个 对 数 函 数 式 
作为 分 配 效 率 的 度量 ， 将 其 定义 为 HH 比率 : 
_ logy) 对 象 的 数目 ) 
”可 用 位 的 数目 
根据 网 站 “因特网 世界 统计 ”的 数据 "7 ， 如 今 有 大 概 24 亿 的 网 络 用 户 ， 因 
此 现在 的 互 比 率 为 0.293。42 亿 了 下 地 址 的 100 和 利用 率 对 应 的 H 比率 为 0.301， 
因此 现在 的 日 比率 相对 来 讲 已 经 很 高 了 。 
IPv6 具有 庞大 的 地 址 空间 ， 其 分 配 效 率 通过 HD 比率 进行 计算 : 
o logo (分 配对 象 的 数目 ) 
”logio( 可 分 配对 象 的 最 大 数目 ) 
度量 IPv6 的 HD 比率 公式 中 的 “对 象 ” 指 的 是 已 分 配 的 IPv6 块 地 址 (/48s) , 
这 是 用 一 个 给 定 大 小 的 IPv6 前 级 进行 分 配 的 。 这 些 /48 地 址 块 是 LIRAISP 要 分 配 
给 每 个 终端 用 户 的 。 所以， 如果 一 个 具有 /32 地 址 分 配 的 LIR/ISP 已 经 分 配 了 100 
个 /48 地 址 块 ， 那么 其 HD 比率 为 logo (100)/logio(65536) =0. 415。 


5.2 IPv6 地 址 规划 


在 一 个 组 织 内 进行 IP 地 址 分 配 的 主要 目的 是 为 每 个 网 络 内 的 终端 节点 提供 
IP 地 址 ， 使 得 这 些 节 点 能 够 使 用 各 种 各 样 的 媒体 ( 数据、 语音、 视频 等 ) 与 网 
络 内 的 其 他 节点 (也 可 能 不 是 ) 及 因特网 节点 (也 可 能 不 是 ) 进行 通信 。 除 了 
考虑 终端 用 户 的 寻 址 需求 外 ， 你 的 地 址 分 配方 案 也 必须 考虑 网 络 运行 ， 以 促进 
网 络 的 管理 和 安全 ， 这 意味 着 是 允许 在 内 部 进行 通信 或 者 是 能 够 与 因特网 节点 
进行 通信 。 

首先 要 检查 第 二 支持 者 的 需求 ， 即 网 络 运 营 团 队 的 需求 ， 考 虑 地 址 规划 如 
何 对 路 由 器 和 防火 墙 的 设置 与 策略 产生 影响 。 如 果 能 简单 地 由 被 管 设备 的 全 地 
址 确定 有 关 设 备 的 信息 ， 那 么 网 络 就 更 容易 管理 了 。 例 如 ,在 IPv4 的 世界 里 ， 
大 部 分 地 址 规划 者 都 会 为 每 个 子 网 的 路 由 器 分 配 地 址 “. 1”; 如 果 使 用 更 少 地 址 
相关 的 条 日 来 定义 诸如 与 访问 控制 列表 (Access Control List, ACL) 或 路 由 处 理 
(如 语音 与 数据 报 处 理 ) 相关 的 策略 ， 那 么 网 络 、 路 由 和 安全 策略 也 会 更 容易 管 
理 。 例 如 ， 一 些 组 织 定义 了 各 种 地 址 “类 型 ”， 以 反映 分 配给 基于 应 用 程序 的 数 
据 报 处 理 的 地 址 空间 。 通 过 充分 的 规划 再 加 上 可 能 的 一 些 运 气 ，IP 地 址 空间 就 
会 更 容易 管理 ， 而 且 无 需 重新 编码 ， 经 过 多 年 后 地 址 层次 结构 还 能 够 保持 完好 ， 
而 重新 编码 的 确 是 一 件 很 痛苦 的 事 。 

用 户 群 体 主 要 为 终端 办 公 室 或 网 络 的 “ 叶 节 点 (leaf node)” 所 需 的 每 种 
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类 型 的 地 址 空间 ， 推 行 整个 网 络 拓扑 的 分 配 标 准 。 在 梯 承 独立 性 、 至 合 性 和 
避免 浪费 的 主要 目标 的 同时 ， 地 址 规划 者 必须 为 每 一 种 地 址 类 型 分 配 足 够 的 
空间 以 满足 容量 需求 。 正 如 将 要 介绍 的 分 配 的 例子 ,在 制订 地 址 分 配 计划 和 
分 层 时 ， 你 不 得 不 考虑 取舍 的 问题 。 但 首先 要 考虑 各 种 不 同 的 IPv6 地 址 分 配 
方法 。 

在 部 署 IPv6 的 过 程 中 ， 一 个 重要 步 又 就 是 从 你 的 RIR 或 ISP 请 求 一 个 IPv6 
地 址 块 。 虽然 IPv6 地 址 与 IPv4 地 址 的 表示 方式 不 同 ， 但 在 网 络 中 的 分 配 过 程 本 
质 上 是 相同 的 。 主 要 的 不 同 是 IPv4 是 在 十 进 制 与 二 进 制 之 间 转 换 ， 而 IPv6 是 在 
十 六 进 制 与 二 进 制 之 间 转 换 。 通 常用 于 IPv4 分 配 的 最 小 可 用 空闲 块 的 最 优 分 配 
过 程 ， 其 实 就 是 最 佳 分 配 算法 。 由 于 可 用 地 址 空间 的 巨大 差异 ，IPv6 不 仅 支 持 
一 个 类 似 的 最 佳 分 配 算法 ， 同 时 也 支持 一 种 稀 玻 的 分 配方 法 。 后 面 将 讨论 这 种 
稀 玻 的 分 配方 法 ， 以 及 一 个 可 用 来 代替 编号 从 1 开始 计数 的 简单 子 网 编码 的 随 
机 分 配方 法 。 下 面 会 先 谈 谈 这 些 分 配方 法 ， 然 后 回 到 如 何 从 实践 的 角度 将 这 些 
方法 应 用 到 你 的 IPv6 地 址 计划 中 。 


5.3 IPv6 地 址 分 配方 法 ° 


IPv6 和 IPv4 分 配 过 程 本 质 上 是 相同 的 ， 稍 后 会 讨论 一 些 捷径 。 最 优 的 地 址 
块 分 配方 法 需要 最 小 可 用 空闲 块 的 分 配 ， 这 种 方法 被 称 为 最 佳 分 配 算法 。 由 于 
有 庞大 的 可 用 IPv6 地 址 空间 ， 严 格 应 用 最 佳 分 配 算法 可 能 是 不 必要 的 。 

IETF 还 定义 了 一 个 稀 玻 的 IPv6 地 址 分 配方 法 ， 用 于 分 配 大 小 相等 的 块 ， 而 
随 着 空间 的 增长 ， 用 随机 分 配方 法 来 代替 编号 从 1 开始 计数 的 简单 子 网 编码 。 

下 面 将 通过 使 用 一 个 IPv6 网 络 2001: db8: : /32 的 例子 来 说 明 这 些 算法 。 实 
际 上 ， 一 个 /32 (或 任何 一 个 ) 大 小 的 全 球 单 播 分 配 需要 一 个 区 域 因 特 网 注册 管 
理 机 构 的 资格 预审 ， 一 个 中 等 规模 的 企业 组 织 不 太 可 能 会 收 到 这 样 的 分 配 。 然 
而 ， 例 子 将 使 用 这 个 分 配 ， 以 防止 地 址 位 数 太 长 ， 以 至 于 相关 内 容 占 用 太 多 篇 
幅 。 稍 后 ， 下 面 将 介绍 一 个 更 实际 的 /48 的 分 配 例子 。 算 法 不 管 以 /32 或 是 以 
/48 的 分 配 开始 都 是 等 效 的 ， 只 是 在 /48 网 络 中 将 会 有 更 多 的 前 级 。 


5.3.1 最 佳 分 配方 法 


最 佳 分 配方 法 力求 用 最 小 的 可 用 地 址 块 来 分 配 所 需 的 块 大 小 。 如 果 你 使 用 
的 是 大 小 相等 的 块 分 配 (为 简单 起 见 建议 如 此 ， 稍 后 将 介绍 ) ， 这 种 方法 很 简 
单 。 然 而 ， 为 了 最 优 地 分 配 地 址 空间 ， 分 配 的 块 应 该 不 大 于 所 需 的 大 小 。 因 此 ， 


名 ”这 部 分 对 IPv6 分 配 的 讨论 是 基于 本 书 参 考 文献 [81] 的 。 
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你 可 以 在 一 次 分 配 中 分 配 一 个 /56 的 块 ， 然 后 在 男 一 次 分 配 中 分 配 /61 的 块 。 现 
在 这 种 方法 通常 用 于 IPv4 的 块 分 配 ， 因 为 存在 节约 地 址 空间 的 必要 性 。 这 个 需 
求 对 具有 巨大 地 址 空间 的 IPv6 而 言 是 不 迫切 的 ,但 尽管 如 此 下 面 也 会 说 明 这 个 
最 佳 分 配方 法 过 程 。 
最 佳 分 配方 法 需要 在 你 的 地 址 层次 结构 中 选择 一 个 空闲 的 “ 父 ” 块 ， 使 其 
能 够 完全 满足 所 需 的 大 小 或 者 是 更 大 尺寸 的 最 小 块 。 除 非 你 能 在 你 的 大 脑 中 进 
行 十 六 进 制 的 计算 ， 不然 这 种 方法 通常 需要 在 二 进 制 域 中 进行 分 配 。 这 是 由 于 
需要 跟踪 从 相等 或 更 大 的 块 中 分 配 可 变 大 小 的 块 。 从 稍 后 的 例子 中 可 以 看 到 ， 
这 种 处 理 的 结果 是 除了 分 配 所 需 的 块 外 ， 也 会 有 更 多 空闲 的 块 ， 其 本 身 可 能 会 
进一步 被 分 配 或 被 瓜分 。 通 过 网 络 2001: 0db8 : : /32 的 例子 ， 仔 细 看 看 这 到 底 是 
如 何 发 生 的 ， 以 下 以 二 进 制 的 格式 对 其 进行 展开 【部 分 地 ] : 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000::- 
现在 假设 需要 从 这 个 /32 的 空间 中 分 配 3 个 /40 的 网 络 。 如 果 把 /32 可 用 地 
址 空间 认为 是 一 个 可 用 来 分 配 的 饼 ， 那么 就 可 以 对 其 进行 分 割 。 将 饼 对 半 切 割 
从 而 产生 两 个 /33 的 块 ， 列 在 第 一 个 的 是 2001: db8::/33， 列 在 第 二 个 的 是 
2001 ; db8 ; 8000: : /33, 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 1000 0000 0000 0000 0000--- 
原封 不 动 地 留 下 后 半 部 分 2001: db8 : 8000; : /33， 以 提供 尽 可 能 大 的 块 用 于 
后 续 的 分 配 请 求 。 同 时 ， 将 2001; db8: : /33 部 分 分 割 成 两 个 /34 的 块 ， 分 别 是 
2001: db8::/34 和 2001: db8:4000::/34， 即 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000… 
0010 0000 0000 0001 0000 1101 1011 1000 0100 0000 0000 0000 0000--- 
现在 原封 不 动 地 留 下 块 2001: db8 : 4000; : /34， 继 续 分 割 块 2001: db8 ; : /34 
为 两 个 /35 的 块 ， 一 直 这 样 分 割 下 去 直到 得 到 了 一 对 /40 的 块 ， 过 程 如 下 : 
0010 0000 0000 0001 0000 1101 1011 1000 1000 0000 0000 0000 0000::- 
0010 0000 0000 0001 0000 1101 1011 1000 0100 0000 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0010 0000 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0001 0000 0000 0000 0000… 
0010 0000 0000 0001 0000 1101 1011 1000 0000 1000 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0100 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0010 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0001 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000--- 
这 样 ， 最 佳 分 配方 法 依次 减 半 地 址 空间 以 降 到 所 需 的 大 小 。 在 本 例子 中 ， 
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现在 有 两 个 可 用 的 /40 网 络 了 (上 面 的 阴影 部 分 ) 。 将 其 转换 回 十 六 进 制 就 是 
2001 : db8 : 100: : /40 与 2001: db8: : /40。 为 了 使 用 最 佳 分 配方 法 分 配 所 需 的 第 
三 个 /40 块 ， 可 以 采用 下 一 个 最 小 的 可 用 网 络 ， 在 这 个 例子 中 就 是 2001: db8: 
200:: /39， 并 将 其 分 割 为 两 个 /40: 

0010 0000 0000 0001 0000 1101 1011 1000 0000 0010 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0011 0000 0000 0000--- 
通过 给 下 一 个 位 赋值 来 将 其 进行 对 半分 制 ， 产 生 了 两 个 /40 块 。 可 以 选择 一 
个 用 于 分 配 ， 而 另 一 个 将 留 下 在 以 后 分 配 。 因 此 ， 分 配 的 三 个 /40 块 为 2001 : 
db8;:/40, 2001: db8: 100:;/40 和 2001: db8:200::/40。 而 男 一 个 /40 的 块 ， 
也 就 是 2001: db8: 300;:/40， 可 用 于 以 后 的 分 配 。 图 5-2 所 示 从 1 个 /32 网 络 中 
分 割 出 3 个 /40 网 络 分 配 结果 ， 图 中 用 饼 状 图 的 形式 说 明了 这 个 依次 减 半 的 


整个 饼 图 : 2001:db8::/32 
7.9X1028 个 也 地址 


2001:db8:4000::/34 
210284. 1P Hi HE 


2001:db8:8000::/33 
4X102 个 IP 地 址 È 


2001:db8:2000::/35 
1X1023 个 IP 地 址 


2001:db8:1000::/36 
5X1027 个 IP 地 址 
2001:db8:800::/37 
2.5X1027 个 IP 地 址 
2001:db8:400::/38 

1X 102744 TP dh HE 
2001:db8:300::/40 

3X 107648 1P Hist 


图 $-2 ”从 1 个 /32 网 络 中 分 制 出 3 个 /40 网络 的 分 配 结果 


2001:db8::/40 
2001:db8:100::/40 
2001:db8:200::/40 
3X102 个 IP 地 址 (每 个 ) 


当 随 后 的 分 配 请 求 中 出 现 了 一 个 /40、/38、/37、/36、/35、/34 或 者 /33 大 
小 的 块 时 ， 有 随时 可 供 分 配 的 块 来 提供 请 求 的 地 址 容量 ， 而 无 需 分 配 多 个 可 能 
不 连续 的 块 。 对 于 一 个 其 他 大 小 的 块 的 请 求 ， 如 一 个 /44 的 块 ， 可 以 根据 上 面 的 
分 配 过 程 以 最 小 的 空闲 块 2001: db8 : 3000: : /40 开始 进行 分 配 。 

当 可 变 块 大 小 根据 策略 进行 分 配 时 ， 最 佳 分 配方 法 保留 了 较 大 的 块 。 这 种 
方法 虽然 算法 复杂 度 较 高 ， 但 其 最 好 地 利用 了 可 用 地 址 容量 。 因 此 对 帮助 服务 
提供 商 最 大 化 地 址 利用 率 来 说 可 能 是 很 有 意义 的 ， 但 大 多 数 企 业 可 能 会 寻求 其 
他 下 面 将 会 描述 的 更 易于 管理 的 方法 。 
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5.3.2 ARANMA 


在 之 前 的 从 一 个 /32 块 中 分 配 一 个 /40 的 块 的 算法 中 你 会 发 现 ， 网 络 的 长 度 
逐渐 扩展 到 第 40 位 ; 然后 通过 给 网 络 的 第 40 位 赋值 0 或 1 作为 一 开始 的 两 个 
/40 网 络 。 从 本 质 上 讲 ， 这 里 依次 处 理 了 每 个 位 ， 考 虑 将 “1” 作 为 空闲 块 而 将 
“0” 作 为 分 配 的 块 。 然 而 ， 如 果 退 后 一 步 ， 将 扩展 /32 到 /40 作为 一 个 整体 来 考 
虑 8 ATAID 位 ， 而 不 是 递增 地 减 半 网 络 ， 实 际 上 是 通过 对 子 网 ID 字段 进行 编 
号 或 计数 来 分 配子 网 的 ， 正 如 下 面 的 阴影 的 加 粗 斜体 位 所 示 : 

0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000…2001 : 
db 8; : /40 

0010 0000 0000 0001 0000 1101 1011 1000 0000 0001 0000 0000 0000---2001 : 
db 8; 100; ; /40 

0010 0000 0000 0001 0000 1101 1011 1000 0000 0010 0000 0000 0000…2001: db 
db 8; 200; ; /40 

因此 ， 如 果 你 事先 知道 原始 的 /32 网 络 将 仅 被 分 割 成 均匀 的 [40 大 小 的 块 ， 
那么 就 可 以 使 用 仅 递增 子 网 ID 位 的 更 简单 的 分 配方 法 。 下 一 个 位 /40 块 分 配 的 
子 网 ID 的 值 是 0000 0011 , 0000 0100 、0000 0101 ， 以 此 类 推 。 

在 某 些 网 络 中 地 址 分 配 效率 是 最 重要 的 ， 这 种 同样 大 小 块 的 均匀 性 分 配 策 
略 可 能 不 适用 ， 所 以 逐次 减 半 的 最 佳 分 配方 法 可 能 会 更 合适 。 但 从 另 一 方面 讲 ， 
稀 玻 分 配方 法 提供 了 一 种 更 简单 的 方法 ， 并 产生 了 虽 非 最 优 但 却 类 似 的 好 处 。 
稀 疏 分 配方 法 旨 在 使 分 配 空间 之 间 的 地 址 空间 最 大 化 ， 以 提供 空间 的 增长 。 稀 
玻 的 分 配方 法 也 有 着 对 半分 配 可 用 地 址 空间 的 作用 ， 但 不 是 持续 这 个 过 程 直到 
下 降 到 最 小 的 大 小 ， 它 需要 在 新 的 一 半 的 边缘 上 分 配 下 一 个 块 。 这 样 导 致 分配 
被 散布 开 ， 而 不 是 最 优 的 分 配 。 另 外 ， 其 基本 原理 就 是 这 种 方法 在 丰富 的 IPv6 
空间 中 ， 通 过 在 分 配 之 间 留 下 足够 的 空间 以 为 分 配 的 网 络 提供 增长 的 空间 。 考 
虑 这 样 一 个 例子 ， 从 2001: db8: : /32 的 空间 中 分 配 3 个 /40 块 就 会 像 这 样 ; 

0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000…2001 : 
db 8; : /40 

0010 0000 0000 0001 0000 1101 1011 1000 1000 0000 0000 0000 0000---2001 : 
db 8; 8000; ; /40 

0010 0000 0000 0001 0000 1101 1011 1000 0100 0000 0000 0000 0000…2001: db 
db 8; 4000; ; /40 

这 分 别 转换 为 2001: db8:;/40, 2001; db8: 8000: ; /40 和 2001; db8; 4000: ; 
/40。 这 种 分 配 可 以 使 地 址 空间 散布 开 ， 如 图 5-3 所 示 。 如 果 2001; db8 
8000 : : /40 网 络 的 接收 者 需要 一 个 额外 的 分 配 ， 可 以 为 其 分 配 一 个 连续 的 或 相 
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邻 的 块 ， 即 2001: db8 : 8100 : : /40 。 这 个 块 在 稀 踊 分 配方 法 下 将 会 是 最 后 被 分 
配 的 ， 所 以 它 很 有 可 能 是 可 用 的 。 在 这 种 情况 下 ， 两 个 连续 块 的 接收 者 就 可 
以 将 它们 的 地 址 空间 识别 (或 公布 ) 为 2001: db8 ; 8000; ; /39, TER, KEW 
子 网 DD 位 是 从 左 到 右 进行 计数 的 ， 而 不 是 用 于 “正常 ”传统 计数 从 右 到 左 的 
方法 。 


整个 饼 图 : 2001:db8::/32 
7.9X1023 个 IP 地 址 


2001:db8:8000::/40 
X10 个 IP 地 址 


2001:db8:4000::/40 
3X1026 个 IP 地 址 


2001:db8::/40 
3X1026 个 IP 地 址 


图 5-3 Fim 


RFC 3531 (〈 即 本 书 参考 文献 [82]) 描述 了 稀 朴 分 配方 法 。 由 于 网 络 分 配 
期 望 遵循 一 个 多 层 的 分 配 层 次 ， 为 了 连续 地 分 配 ， 不 同 的 实体 可 以 使 用 多 个 连 
续 网 络 位 的 集合 。 例 如 ， 一 个 因特网 注册 管理 机 构 可 能 会 分 配 第 一 个 块 给 一 个 
区 域 注 册 机 构 ， 该 机 构 同 样 也 会 从 该 空间 中 分 配 块 给 一 个 服务 提供 商 ， 服 务 提 
供 商 则 可 能 会 从 该 子 空间 中 分 配 块 给 客户 ， 而 客户 就 可 以 在 其 网 络 中 进一步 分 
fic, RFC 3531 建议 较 高 级 别 的 分 配 ， 如 注册 管理 机 构 的 分 配 ， 使 用 最 左边 开始 
计数 或 稀 玻 分 配 ， 最 低级 别 的 分 配 则 使 用 最 右边 开始 计数 或 最 优 分 配 ， 而 其 他 
中 间 级 别 的 分 配 使 用 任 一 种 缘 可 ， 或 者 甚至 是 一 种 最 中 心 的 分 配方 案 。 对 于 一 
个 企业 组 织 ， 可 以 使 用 稀疏 分 配方 法 来 分 配 洲际 或 核心 网 络 ; 在 最 顶层 ， 不 要 
过 量 使 用 地 址 空间 ， 从 而 为 未 来 的 增长 留 出 空间 。 


5.3.3 随机 分 配方 法 


随机 分 配方 法 随机 选择 一 个 在 子 网 位 数 大 小 内 的 随机 数 来 分 配子 网 。 使 用 
之 前 从 /32 中 分 配 /40 的 例子 ， 这 将 会 产生 一 个 在 0 ~2 -1 (或 255) 的 随机 数 
并 对 其 进行 分 配 ， 如 果 它 仍 可 用 的 话 。 这 种 方法 提供 了 一 种 横 跨 多 个 实体 随机 
扩展 分 配 的 手段 ， 其 通常 最 适合 于 “相同 大 小 ”的 分 配 。 随 机 化 的 方法 为 不 连 
续 的 块 和 以 “1” 开 始 的 连续 子 网 提供 了 一 个 “隐私 ”级 别 。 要 知道 ， 随 机 分 配 
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可 能 致使 较 大 连续 块 的 识别 更 加 困难 ， 而 且 会 由 于 重新 编号 的 原因 而 释放 连续 
的 空间 。 因 此 ， 在 顶层 更 适宜 进行 稀 玻 分 配 ， 随 机 分 配 或 最 佳 分 配方 法 更 适合 
在 底部 或 子 网 分 配 级 别 的 分 配 。 


5.3.4 DHCPv6 前 组 代理 


DHCPv6 不 仅 可 以 用 来 给 主机 进行 分 配 单个 IP 地 址 和 /或 相关 的 IP 配置 信 
息 ， 也 可 以 代理 整个 网 络 去 请 求 路 由 设备 。 这 种 通过 DHCPv6 代理 的 形式 被 称 为 
前 缀 代理 。 这 种 前 缀 代理 的 原始 动机 是 因 宽 频 服 务 提供 商 旨 在 用 一 种 分 层 的 方 
式 来 自动 化 授权 IPv6 子 网 (如 /48 网 络 划 分 为 /64 网 络 ) 给 宽频 用 户 的 过 程 。 
一 个 在 服务 提供 商 面 向 用 户 的 网 络 边缘 的 请 求 路 由 设备 ， 会 把 一 个 通过 DHCPv6 
协议 发 出 的 地 址 空间 请 求 发 布 给 一 个 代理 路 由 器 。 

前 缀 代理 过 程 使 用 的 DHCPv6 信息 流 ， 跟 设备 用 来 获得 一 个 单独 的 IPv6 地 
址 所 使 用 的 基本 的 DHCPv6 信息 流 相同 。 相 应 的 DHCPv6 消息 中 额外 的 信息 可 被 
用 来 确定 一 个 被 代理 的 合适 网 络 。 像 IPv6 地 址 一 样 ， 前 缀 具有 优先 和 有 效 的 使 
用 期 。 请 求 路 由 器 可 以 通过 DHCPv6 的 Renew 和 Rebind 信息 来 请 求 扩 展 使 用 期 。 
请 参考 本 书 参 考 文 献 [11] ， 以 获得 更 多 有 关 DHCPv6 的 细节 。 


5.3.5 唯一 本 地 地 址 空间 


虽然 IPv6 并 没有 指定 “私有 ”地 址 空间 , 但 ULA 空间 本 质 上 是 等 效 的 。 通 
过 使 用 fc00::77 前 缀 ， 设 置 工 位 为 “1” (也 就 是 fd00::/8) 来 表明 本 地 分 配 ， 
再 分 配 一 个 随机 的 40 位 全 局 ID ， 你 就 可 以 得 到 一 个 /48 的 前 缀 以 供 内 网 使 用 。 
就 像 RFC 1918 中 IPv4 空间 一 样 ，ULA 编 址 的 数据 报 ， 不 能 被 路 由 到 组 织 外 ， 也 
就 是 因特网 中 。 那 么 你 是 否 应 该 分 配 ULA 地 址 空间 呢 ? 对 你 的 实验 室 实现 来 说 
为 是 ; 而 通常 对 需要 因特网 访问 的 设备 而 言 ， 则 为 否 。 这 些 设备 将 需要 公共 的 
IPv6 地 址 分 配 和 使 用 网 络 前 缀 转化 (Network Prefix Translation，NPT) ， 然 We 
将 其 作为 实验 的 解决 方案 ， 则 可 能 会 降低 其 性 能 。 


5.4 定义 你 自己 的 IPv6 地 址 计划 


既然 定义 了 各 种 分 配方 法 ， 那 就 讨论 每 一 种 方法 可 能 会 被 用 在 哪些 地 方 。 
下 面 将 通过 一 个 顶级 核心 网 络 ， 并 假设 其 具有 一 个 分 层 路 由 拓扑 ， 来 讨论 分 配 
问题 。 校 园 网 或 接 入 网 络 从 顶级 核心 网 络 中 分 配 地 址 ， 而 本 地 子 网 则 从 校园 网 
或 接 入 网 中 进行 分 配 。 在 所 用 的 例子 中 ， 基 于 你 网 络 大 小 和 复杂 性 ， 这 个 简单 
的 三 层 层 次 结构 是 可 以 被 扩展 为 任何 数量 的 层次 的 。 第 一 个 要 考虑 的 是 你 是 否 
要 为 网 络 中 的 每 一 个 IPv4 块 或 子 网 ， 映 射 一 个 IPv6 块 或 子 网 。 给 定 一 个 具有 超 
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过 18 x102 个 地 址 的 大 型 /64 IPv6 子 网 ， 肯 定 可 以 只 使 用 一 个 /64 块 就 可 以 解决 
整个 TP 网 络 的 编 址 问题 。 这 当然 会 损害 网 络 路 由 效率 及 其 相关 功能 的 优势 ， 但 
某 种 形式 的 网 络 聚合 可 能 会 更 加 有 意义 。 这 并 不 是 意味 着 要 根据 调试 和 解决 路 
由 和 数据 流 问 题 而 完全 重新 设计 网 络 ， 网 络 的 重新 设计 会 在 IPv6 部 署 过 程 中 引 
入 复杂 的 额外 层次 。 如 果 你 的 网 络 运行 不 佳 ， 你 可 能 需要 先 考虑 重新 设计 和 优 
化 你 的 IPv4 网 络 ， 然 后 再 部 署 IPv6 。 

假设 你 的 IPv4 网 络 虽 不 是 最 佳 的 但 运行 得 还 不 错 ， 那 么 你 的 IPv4 地 址 可 以 
作为 你 IPv6 计划 的 一 个 可 靠 基 础 ， 这 就 是 为 什么 定 下 你 IPv4 计划 基线 是 如 此 重 
要 。 通 常 你 的 顶级 IPv6 分 配 将 很 可 能 会 模拟 IPv4 的 分 配 ， 为 每 个 核心 路 由 器 分 
配 一 个 聚合 的 地 址 块 。 核 心路 由 器 可 能 较 少 发 布 路 由 信息 ， 因 为 每 个 相应 的 块 
在 本 地 访问 级 别 将 会 进一步 被 分 配给 下 游 。 在 分 配 ISP 所 分 配 的 地 址 给 核心 路 由 
器 之 前 ， 一 些 网 络 管理 员 会 首先 根据 应 用 程序 的 不 同 分 割 它 们 的 空间 ， 如 VolP、 
数据 、 无 线 等 。 使 用 这 种 模板 来 分 配 地 址 有 助 于 为 特定 应 用 程序 通信 配置 网 络 
路 由 策略 和 ACL。 例 如 ， 你 可 能 会 分 割 一 个 ISP 提供 的 /48 块 为 16 个 /52 块 来 定 
义 每 个 应 用 程序 的 空间 。 然 后 每 个 分 配 的 /52 块 可 能 会 进一步 被 分 配 ， 假 设 每 一 
个 被 分 配 为 16 个 块 ， 这 样 就 为 每 个 应 用 程序 分 配 了 16 个 /56 块 。 这 种 在 你 网 络 
顶级 的 IPv6 空间 分 配 ， 应 使 用 稀 玻 分 配 算法 以 防止 路 由 表 随 着 网 络 容量 的 增长 
而 增长 。 

下 面 通过 使 用 ISP 分 配 2001: db8 ; 4af0; : /48 的 例子 来 说 明 这 个 过 程 。 在 应 
用 层 将 迭代 地 应 用 稀 玖 分 配 ， 然 后 是 核心 区 域 层 。 在 应 用 层 ， 就 像 下 面 这 样 稀 
BREA BCE 13 个 半 字 节 或 者 49 ~52 位 。 


核心 分 配 49 ~52 位 公共 地 址 空间 分 配 
数据 0000 2001: db8 ; 4af0: ; /52 
VoIP 1000 2001 : db8 ; 4af0 ; 8000 : : /52 
无 线 0100 2001; db8 : 4af0 ; 4000 : : /52 
管理 1100 2001; db8 ; 4af0 : c000: ; /52 


注意 ， 你 本 来 可 以 定义 一 个 横 跨 整个 网 络 的 统一 的 各 个 应 用 策略 清单 。 例 
如 ， 如 果 源 地 址 落 在 2001: db8: 4af0; 8000; ; /52 上 ， 就 应 用 VoIP 的 数据 报 处 理 
过 程 。 由 于 有 了 稀 玻 分 配 算法 ， 此 时 如 果 需 要 分 配 更 多 的 “VoIP” 地 址 空间 ， 
可 以 简单 地 分 配 一 个 2001: db8: 4af0: 9000: ; /52 (位 49-52 为 1001)， 它 和 
2001: db8:4af0: 8000::/52 是 相 邻 的 。 然 后 就 可 以 仅 从 2001: db8: 4af0: 
8000; : /52 到 2001 ; db8 : 4af0; 8000; : /51 更 新 我 的 路 由 、 策 略 和 ACL。 而 下 一 
步 ， 为 了 分 配 这 个 VoIP 空间 到 整个 核心 路 由 器 ， 只 需 将 接 下 来 (第 14 个 ) 的 
半 个 字 节 或 53 ~ 56 位 分 配给 各 大 陆 的 地 址 空间 : 
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子 核心 分 配 53 ~56 位 公共 地 址 空间 分 配 
北美 洲 0000 2001 ; db8 ; 4af0 ; 8000; : /52 
欧洲 1000 2001 ; db8 :4af0 ; 8800; ; /52 
亚洲 0100 2001 ; db8 ; 4af0 ; 8400; : /52 
南美 洲 1100 2001: db8:4af ; 8c00; : /52 
非洲 0010 2001 ; db8 :4af0 ; 8200; ; /52 
澳洲 1010 2001: db8 ; 4af; 8a00; : /52 


注意 ， 这 种 方法 提供 了 一 个 网 络 地 址 到 相应 应 用 程序 或 地 区 的 可 视 化 映射 。 
这 是 在 例子 中 使 用 的 半 字 节 递 增 分 配 的 关键 优势 。 稍 后 ， 你 就 会 发 现 一 个 具有 
2001 : db8 :4af0: 8400; : 地 址 分 配 的 主机 是 一 个 位 于 亚洲 地 区 的 VoIP 设备 。 因 为 
第 13 个 半 字 节 的 值 为 8 ， 表 明 其 是 VoIP 应 用 ; 而 第 14 个 半 字 节 的 值 为 4， 表 明 
其 在 亚洲 。 

对 于 一 个 /48 的 分 配 ， 你 实际 上 只 有 /48 到 /64 之 间 4 个 半 字 节 可 以 使 用 ， 
所 以 要 做 相应 的 计划 。 你 可 以 不 使 用 半 字 节 的 方式 ， 但 十 六 进 制 的 映射 具有 更 
大 的 挑战 性 ， 且 你 牺牲 了 可 视 化 映射 的 好 处 。 在 本 例 中 ， 对 于 剩 下 的 2 个 半 字 
节 ， 可 以 分 别 为 接 和 网络 和 本 地 网 络 各 分 配 一 个 。 在 这 些 较 低 的 分 配 级 别 中 ， 
根据 你 的 安全 考虑 来 决定 顺序 分 配 ， 或 随机 分 配 可 能 会 更 有 意义 。 但 在 持续 的 
结构 化 分 配 中 ， 你 使 地 址 到 类 型 和 位 置 的 可 视 化 映射 更 容易 了 。 对 你 所 有 的 公 
共 地 址 而 言 ，ISP 前 绥 是 一 样 的 ， 所 以 根据 子 网 ID 部 分 来 追踪 ， 使 这 样 映 射 更 
简化 了 。 

对 于 之 前 已 经 讨论 过 的 2001: db8 :4af0;: /48 的 IPv6 分 配 ， 表 5-1 给 出 的 
示例 是 一 个 将 其 往 下 映射 到 /64 子 网 的 例子 。 在 这 个 例子 中 ， 在 本 书 图 4-3 所 
示 的 IPv4 地 址 评 佑 结果 的 基础 上 ， 构 建 了 自己 的 IPv6 地 址 计划 。 注 意 ， 这 里 
是 如 何 使 用 不 同 的 阴影 来 阐述 每 一 个 层次 的 ， 首 先 将 全 局 的 /48 块 分 配 分 割 为 
应 用 层 的 /52 块 分 配 (水 平 列 表示 )， 再 下 一 层 是 核心 的 /56 块 分 配 ， 然 后 是 
/60 的 地 区 分 配 ， 最 后 则 是 /64 的 站 点 / 子 网 。 注 意 ， 可 识别 出 地 址 2001; db8: 
4af0: c812;:/64 是 在 欧洲 地 区 西部 罗马 的 一 个 管理 子 网 ， 因 为 “c812” 在 
表 5-1 的 右 下 角 每 一 项 分 别 映射 为 管理 (ce)、 欧 洲 (8)、 欧 洲 西 部 (1)， 以 
及 罗马 (2)。 

回 到 之 前 提 到 的 子 网 合并 ， 在 分 配 的 例子 中 ， 欧 洲 西部 有 16 个 可 分 配 的 子 
网 ， 其 中 子 网 2 在 罗马 中 。 如 果 在 罗马 办 公 室 中 已 经 有 了 3 个 IPv4 FA, IBA 
可 以 考虑 将 这 些 合并 到 一 个 IPv6 子 网 中 。 此 外 ， 还 要 考虑 路 由 限制 ， 如 果 可 以 
的 话 ， 还 要 考虑 进行 多 子 网 分 配 的 最 初 原因 。 可 能 是 由 于 安全 或 者 其 他 原因 ， 
保留 多 个 子 网 是 很 有 必要 的 。 


表 5-1 IPv6 层次 块 分 配 示例 


核心 
位 置 地 区 | 位置 IPv4 网 数据 网 VoIP 网 无 线 网 管理 网 

全 局 10. 0. 0. 0/8 2001 ; db8 : 4af0; : /52 2001; db8 ; 4af0; 8000; ; /52 | 2001; db8 ; 4af0; 4000; ; /52 | 2001; db8 ; 4af0; c000; ; /52 

分 配 
10.0.0.0/12| 2001: db8; 4af0: : /56 2001 : db8 : 4af0 : 8000 : : /56 | 2001 ; db8 : 4af0 ; 4000: : /56 | 2001; db8 ; 4af0 : c000: : /56 
10.0.0.0/16] 2001; db8 : 4af0; ; /60 2001; db8 ; 4af0; 8000; ; /60 | 2001; db8: 4af0; 4000; ; /60 | 2001; db8 ; 4af0; c000; ; /60 
东部 费城 ”110.0.0.0/24| 2001; db8:4af0::/64 2001; db8 : 4af0; 8000; ; /64 | 2001; db8: 4af0; 4000; ; /64 | 2001; db8 ; 4af0; c000; ; /64 
蒙特 利 尔 |10. 0. 0. 1/24| 2001; db8:4af0:1::/64 | 2001; db8; 4af0; 8001; ; /64 | 2001; db8 : 4af0; 4001; ; /64 | 2001; db8 ; 4af0; c001 ; ; /64 
华盛顿 | 10.0.0.2/24| 2001; db8;4af0;2:;/64 | 2001; db8; 4af0; 8002: ; /64 | 2001; db8; 4af0; 4002; ; /64 | 2001; db8; 4af0; c002 ; ; /64 
; 10. 1.0.0/16] 2001; db8;4af0;10;:;/60 | 2001; db8; 4af0; 8010;; /60 | 2001; db8; 4af0; 4010; ; /60 | 2001; db8; 4af0; c010; ; /60 
pre ,| 源太 华 |10.1.0.0/24| 2001; db8:4af0:10::/64 | 2001; db8 ; 4af0; 8010: : /64 | 2001; db8:4af0:4010:: /64 | 2001; db8: 4af0 ; c010:: /64 
al 休斯顿 110.1.0.1/24| 2001; db8: 4af0:11::/64 | 2001; db8; 4af0; 8011;; /64 | 2001; db8; 4af0; 4011 ; ; /64 | 2001; db8 ; 4af0; c011 ; ; /64 
丹佛 “110.1.0.2/24| 2001; db8; 4af0;12:;/64 | 2001; db8; 4af0; 8012; ; /64 | 2001; dh8; 4af0; 4012; ; /64 | 2001; db8 ; 4af0; c012; ; /64 
10. 2.0.0/16] 2001; db8;4af0;20;:;/60 | 2001; db8; 4af0; 8020 : : /60 | 2001; db8; 4af0; 4020; ; /60 | 2001; db8; 4af0; c020; ; /60 
ja 旧金山 |10.2.0.0/24| 2001; db8;4af0:20;:/64 | 2001; db8; 4af0; 8020; : /64 | 2001; db8 ; 4af0; 4020 ; ; /64 | 2001; db8 ; 4af0; c020; ; /64 

H 

西雅图 | 10.2.0.1/24| 2001; db8:4af0:21::/64 | 2001; db8; 4af0; 8021 ::/64 | 2001; db8; 4af0; 4021 ; : /64 | 2001; db8; 4af0; c021; ; /64 
圣地 亚 哥 |10. 2. 0. 2/24 | 2001; db8; 4af0;22:;/64 | 2001; db8 ; 4af0; 8022; ; /64 | 2001; db8 : 4af0; 4022; ; /64 | 2001; dh8; 4af0; c022; ; /64 
10. 16. 0. 0/12] 2001: db8 : 4af0 : 800: : /56 | 2001: db8 : 4af0 : 8800: : /56 | 2001: db8 : 4af0 : 4800: : /56 | 2001: db8 : 4af0 : c800 : : /56 
10. 16. 0.0/16| 2001; db8; 4af0;800;; /60 | 2001; db8 ; 4af0; 8800; ; /60 | 2001; db8; 4af0; 4800; : /60 | 2001; db8; 4af0; c800 ; ; /60 
东部 | 柏林 110. 16. 0. 0/24] 2001; db8: 4af0; 800::; /64 | 2001; db8; 4af0; 8800; ; /64 | 2001; db8 ; 4af0; 4800; ; /64 | 2001; db8 ; 4af0; e800; ; /64 
欧洲 基 畏 110. 16. 1.0/24 2001; db8: 4af0; 801 ::/64 | 2001: db8 ; 4af0 : 8801 : : /64 | 2001:db8:4af0:4801::/64 | 2001; db8; 4af0; c801; ; /64 
分 配 10. 17. 0. 0/16| 2001; db8: 4af0:810::/60 | 2001 ; db8 ; 4af0 : 8810 : : /60 | 2001:db8:4af0:4810:: /60 | 2001; db8; 4af0; c810; ; /60 
西部 伦敦 110.17. 0. 0/24| 2001; db8 : 4af0 : 810 ::/64 | 2001:db8:4af0:8810::/64 | 2001 : db8 ; 4af0 : 4810 : : /64 | 2001; db8 ; 4af0 : c810 ; : /64 
EZ 110.17. 1.0/24 2001; db8; 4af0:811::/64 | 2001; db8; 4af0; 8811;; /64 | 2001; dh8; 4af0;4811;; /64 | 2001; db8; 4af0; c811 ; ; /64 
罗马 110.17. 2.0/24] 2001; db8:4af0:812::/64 | 2001; db8; 4af0; 8812;; /64 | 2001; db8: 4af0; 4812;; /64 | 2001; db8 ; 4af0; c812;; /64 
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DNS 是 IPv6 分 配 中 另 一 个 需要 考虑 的 。 如 果 你 的 DNS 管理 委托 给 了 组 织 
的 不 同 群体 ， 通 过 一 些 事先 的 筹划 ， 可 简化 相应 反 向 区 域 的 委托 。 在 上 面 的 例 
子 中 ， 如 果 你 的 VoIP 团队 管理 着 所 有 的 VoIP DNS, 你 可 以 将 区 域 
8. 0. f. a. 4. 8. b. d. O. 1. 0. 0. 2. ip6. arpa 委托 给 它 。 然 而 ， 如 果 欧 洲 的 团队 运行 着 
跨 应 用 的 DNS， 使 用 上 面 的 分 配 策略 ， 你 可 能 不 得 不 委托 到 16 个 反 向 区 域 , 也 
就 是 8.x.0.f a4.8.b.d.0.1.0.0.2.ip6.arpa 中 x=10- 人 的 区 域 。 通 常数 据 路 
由 和 策略 超越 了 反 向 区 域 的 考虑 ,但 这 是 潜意识 中 要 考虑 的 ， 同 时 这 也 帮助 促 
进 权衡 分 配 策略 与 其 在 网 络 操作 中 的 限制 。 


5.5 多 重 连接 与 IP 地 址 空间 


术语 多 重 连接 是 指 一 个 企业 提供 了 多 个 ( >1) 到 因特网 的 连接 。 图 5-4 所 
示 的 多 重 连接 架构 ， 是 一 个 简单 
的 架构 。 一 个 多 重 连 接 的 策略 提 
供 了 几 个 好 处 AT : 

。 链 接见 余 ， 提 供 了 当 连 接 
中 断 事件 发 生 时 有 继续 可 用 的 因 
特 网 连接 。 

e ISP 宛 余 ， 如 果 采 用 多 个 
ISP， 可 以 减少 由 于 某 个 ISP 中 断 
产生 的 影响 。 

。 在 多 个 连接 上 分 流 因特网 


Sit 
bail 


© 根据 拥塞 情况 或 路 由 不 同 应 用 程序 的 流量 到 不 同 的 链接 或 不 同 ISP, EFT 
不 同 的 路 由 ， 从 而 在 策略 与 性 能 上 获得 收益 。 

多 重 连接 提供 了 多 个 很 有 吸引 力 的 好 处 ， 尽 管 它 需 要 小 心 配置 连接 到 每 个 
ISP 的 路 由 器 接口 。 就 像 图 5-4 所 示 ， 直 接连 接 到 它们 各 自 ISP 边界 路 由 器 的 企 
业 边界 路 由 器 ， 加 入 了 一 个 外 部 路 由 协议 (如 BGP)， 以 通告 其 各 自 地 址 块 的 可 
达 性 (通过 地 址 前 级 ) 。 因 此 ， 连 接 到 ISP X 的 企业 路 由 器 将 会 通告 由 ISP X 提 
供给 该 企业 的 地 址 空间 的 可 达 性 。 同 样 的 ， 连 接 到 ISP Y 的 企业 路 由 器 将 会 通告 
由 ISP Y 提供 的 地 址 空间 的 可 达 性 。 

这 两 个 企业 路 由 器 也 通过 企业 IP 网 络 使 用 内 部 路 由 协议 来 进行 彼此 通信 。 
在 这 种 方式 下 ， 可 能 发 现 失去 本 与 一 个 IP 的 连接 ， 这 是 令 人 感 兴趣 的 地 方 。 下 
面 略 过 路 由 细节 ， 来 简要 地 说 明 这 点 。 下 面 总 结 了 最 常见 的 多 重 连接 的 部 署 选 
项 ， 运 行 中 断 的 影响 以 及 对 IP 地 址 空间 的 影响 ; 
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。 情况 1。 两 个 或 多 个 不 同 的 物理 链 路 连接 到 同一 个 ISP。 这 种 “多 个 附 
属 ”的 架构 提供 了 链接 宛 余 ， 但 并 没有 ISP 宛 余 。 如 图 5-4 所 示 ， 两 个 ISP 云 将 
折 全 成 一 个 单一 的 云 ， 但 仍 有 从 企业 来 的 两 个 (或 更 多 ) 链接 。 对 于 单个 ISP， 
前 级 X= 前 级 Y， 所 以 这 个 从 ISP 分 配 的 公共 地 址 空间 就 会 在 所 有 连接 上 统一 
发 布 。 

o 情况 2。 使 用 供应 商 独立 (Provider Independent, PI) 的 地 址 空间 ， 通 过 
两 条 或 多 条 链 路 连接 到 一 个 或 多 个 ISP。PI 空间 是 独立 于 ISP 而 直接 分 配给 某 个 
ape ZAI), WK 5-4 所 示 ， 两 个 连接 的 通告 前 缀 再 次 相同 ， 虽 然 可 以 将 其 记 为 
HUA Z 作为 独立 的 ISP 地 址 空间 。 如 同情 况 1，PI 空间 可 以 被 通告 给 所 有 ISP, 
且 需 要 在 整个 组 织 中 进行 分 配 。 

。 情况 3。 使 用 每 个 ISP 的 供应 商 聚 合 (Provider Aggregate, PA) 的 地 址 空 
间 ， 通 过 两 条 或 多 条 链 路 连接 到 两 个 或 多 个 ISP。 在 这 种 情况 下 ， 每 个 ISP 将 分 
配 地 址 空间 作为 其 服务 的 一 部 分 。 图 5-4 所 示 正 反映 了 这 一 情况 。 有 了 两 个 独立 
的 地 址 块 ，X 和 Y， 如 果 到 ISP X 的 链接 失效 了 ， 由 于 内 部 路 由 协议 的 特性 ， 根 
据 连 接 到 ISP X 的 企业 路 由 器 的 更 新 信息 ， 连 接 到 ISP Y 的 企业 路 由 器 就 会 检测 
到 这 个 问题 。 因 此 ， 连 接 到 ISP Y 的 企业 路 由 器 现在 就 可 以 通告 到 前 绥 X 的 可 
达 性 了 。 根 据 ISP Y 的 策略 ， 由 于 它 不 是 ISP Y 的 地 址 空间 而 是 ISP X 的 ， 因 此 
它 可 能 会 也 可 能 不 会 传播 该 路 由 。 

男 一 种 方法 就 是 执行 一 个 ISPY 的 间接 的 BGP 更 新 ， 而 ISP Y 其 实 是 连接 到 
ISP X 路 由 器 的 企业 路 由 器 。 在 这 种 方式 下 ，ISP X 路 由 器 可 能 会 被 告知 ， 通 过 
ISP Y 有 一 个 替代 路 由 能 够 到 达 企 业 地 址 空间 。 图 5- 5 所 示 的 多 重 链 路 中 断 恢 
复 , 说 明了 这 两 种 可 选 的 方法 ， 前 者 展示 了 前 级 X 被 通告 给 ISP Y 的 路 由 器 ， 
后 者 则 展示 了 前 级 X 被 通告 给 ISP X Be AE! 。 


图 5-5 多 重 链 路 中 断 恢复 


还 有 一 个 方法 是 部 署 shim6” ， 它 是 协议 栈 中 IPv6 层 正 上 方 的 一 个 “ 垫 
片 ”， 用 来 用 最 佳 下 一 跳 来 映射 目标 地 址 。 启 动 了 IPv6 流量 的 终端 设备 在 它们 的 
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协议 栈 中 将 需要 一 个 shim6 ， 以 启用 这 种 最 佳 的 路 由 ， 这 也 可 以 实现 重新 路 由 以 
绕 过 某 些 断 开 的 ISP 连接 。 

每 个 ISP 连接 的 NAT 网 关 都 启用 了 地 址 池 ， 在 ISP 连接 邻近 的 基础 上 ， 如 
IAW X BOY, 将 一 个 给 定数 据 报 的 内 部 私有 地 址 转化 为 一 个 公共 地 址 。 除 非 
使 用 NAT 网 关 ， 不 然 企 业 应 该 要 实现 边界 路 由 策略 ， 以 最 小 化 或 阻止 在 内 部 地 
址 主机 间 的 流量 被 路 由 为 通过 ISP 的 流量 。 


5.6 IP 地址 规划 总 结 


本 章 讨论 了 制订 你 的 IPv6 地 址 计划 的 机 制 和 技术 。 图 5-6 所 示 的 IPv6 地 址 
规划 总 结 了 基本 过 程 。 作 为 你 选择 的 部 署 范围 中 初步 的 整体 发 现 与 评估 的 一 部 
分 ， 其 中 一 项 成 果 应 该 是 一 份 本 书 第 4 章 中 讨论 的 IPv4 地 址 库存 清单 。 这 份 库 
存 清单 应 该 根据 你 的 网 络 拓 扑 来 进行 分 层 建 模 ， 以 反映 出 拓扑 级 别 、 相 关 的 分 
配 、 直 到 子 网 和 独立 IP 地 址 的 分 配 级 别 。 该 库存 清单 还 必须 列 出 DHCP 地 址 池 ， 
以 及 为 故障 切换 的 准备 的 备份 池 、 分 割 范 围 或 共享 子 网 等 。 


开始 下 从 ISP/RIR| 
地 址 规 获得 的 
划 过 程 IPv6 块 


发 现 IPv4 
网 络 、 
DHCP 池 、 


地 址 分 配 


IPv4 地 
址 计划 


设计 IPv6 
地 址 计划 


图 5-6 IPv6 地 址 规划 


计划 和 预 


定 下 IPv6 
算 的 基线 


IPv6 部 署 
项 目 计划 


这 项 评估 工作 的 最 终结 果 ， 即 IPv4 地 址 计划 ,正如 本 章 所 描述 的 ， 为 IPv6 
地 址 规划 提供 了 基础 。 假 定 你 计划 在 很 大 程度 上 保留 当前 的 基本 数据 流 和 路 由 
结构 ， 那 么 这 样 将 大 大 降低 因为 部 署 IPv6 网 络 而 破坏 网 络 正常 数据 交换 的 可 能 。 
结合 IPv4 地 址 计划 ， 你 的 ISP 分 配 的 IPv6 前 缀 也 可 以 相应 地 被 应 用 和 分 配 。 在 
你 的 网 络 拓 扑 应 用 程序 、 管 理 和 策略 需求 及 管理 授权 需求 的 基础 上 ， 制 定 一 个 
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IPv6 的 分 配 层次 结构 并 在 对 应 的 层次 上 进行 稀 玻 或 最 佳 或 随机 的 地 址 分 配 。 

对 照 [Pv4 计划 来 制订 IPv6 地 址 计划 ， 对 于 保证 完成 分 配 的 覆盖 和 确保 分 配 
层次 符合 网 络 的 分 层 来 说 是 有 帮助 的 。 计 划 还 应 该 包括 对 ULA 空间 及 多 播 地 址 
需求 (如 适用 的 话 ) 的 考虑 。 一 旦 IPv6 计划 已 经 确定 ， 该 计划 就 会 在 部 署 实施 
过 程 中 被 参照 遵循 ， 以 指导 和 保证 路 由 器 、 每 台 设备 、IPv6 子 网 /地 址 正常 划 
分 。DHCPv6 的 准备 也 必须 在 主机 地 址 分 配 和 可 能 的 基础 设施 投资 时 被 考虑 进 
去 。 其 他 与 IP 寻 址 相关 的 基础 设施 投资 的 可 能 是 极 小 的 ， 除 非 你 需要 一 个 IPAM 
系统 来 同时 管理 你 的 IPv4 和 IPv6 空间 。 
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如 果 计划 在 你 的 网 络 中 引进 一 个 新 的 网 络 层 协议 ， 必 然 会 引起 安全 团队 的 
重视 。 事 实 上 ， 在 你 的 网 络 中 可 能 早已 拥有 了 一 些 试图 连接 网 络 资源 的 IPv6 寻 
址 设备 。 因 此 ， 作 为 引进 IPv6 计划 的 重要 组 成 部 分 ， 更 新 你 的 安全 策略 就 非常 
关键 了 。 本 章 主 要 从 安全 的 视角 来 探讨 IPv4 和 IPv6 之 间 的 差异 ， 并 突出 了 在 更 
新 安全 策略 时 需要 考虑 的 一 些 关 键 点 。 


uo 


6.1 好 消息 : IP 依然 是 IP 


如 同 IPv4, IPv6 是 属于 OSI ER BORE A — BP I | FE 
IPv4 的 网 络 中 使 用 IPv6 并 不 会 对 网 络 层 的 上 层 或 下 层 有 潜在 的 安全 影响 。IPv6 
本 身 并 不 比 IPv4 更 安全 或 更 不 安全 ， 但 它 与 IPv4 不 同 ， 必 须 从 安全 的 角度 加 以 
考虑 。 因 此 ， 没 有 新 的 应 用 层 、 传 输 层 、 链 路 层 或 物理 层 漏 洞 被 引入 ， 也 没有 
被 消除 。 一 般 来 说 ， 以 下 的 攻击 类 型 应 该 继续 包含 在 您 的 安全 策略 中 : 

© 物理 安全 性 和 访问 。 

。 未 经 授权 的 网 络 访问 许可 : 通过 第 二 层 (如 可 扩展 身份 验证 协议 
(Extensible Authentication Protocol, EAP), Radius/Diameter 协议 ) 或 者 第 三 层 
(DHCP 或 者 Spoofing) 。 

。 应 用 层 ， 传 输 层 ， 链 路 层 或 物理 层 攻击 。 

。 中 间 人 攻击 。 

。 操作 系统 漏洞 和 攻击 。 

© MERR, 

o 拒绝 服务 攻击 (Denial of Service, DOS) 和 分 布 式 拒绝 服务 攻击 (Distributed 
DOS, DDOS), 

然而 ， 相 比 单个 协议 栈 ， 运 行 IPv4 All IPv6 双 协 议 栈 的 设备 更 容易 受到 这 两 
种 网 络 寻 址 的 安全 漏洞 的 影响 。 对 比 IPv4 ， 业 界 对 IPv6 安全 缺乏 经 验 上 的 认识 ， 
使 得 上 层 攻击 者 直接 攻击 IPv6 寻 址 比 直接 攻击 IPv4 寻 址 更 加 有 效 。 应 用 本 章 讨 
论 的 IPv6 安全 策略 将 会 帮助 降低 这 些 风 险 。 

引入 IPv6 不 是 为 了 改变 网 络 流 量 ， 但 可 能 会 增加 IPv6 单 协议 主机 的 流入 或 
流出 流量 。 用 户 设备 最 终 产 生 的 IP 流量 由 用 户 的 行为 决定 。 如 果 用 户 引 入 一 个 
IPv6 设备 ， 新 的 IPv6 流量 必然 会 产生 ， 与 用 户 使 用 传统 设备 产生 的 IPv4 流量 代 
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价 是 一 样 的 。 因 此 ， 除 非 在 计划 部 署 IPv6 的 同时 恰巧 重新 设计 主要 网 络 (并 不 
推荐 这 种 做 法 ) ， 那 么 整体 的 IP 流量 模式 在 大 多 数 情况 下 将 会 保持 相同 。 


6.2 坏 消息 : IPv6 不 是 IPv4 


尽管 好 的 一 面 是 ， 引 入 IPv6 带 来 的 漏洞 会 大 部 分 受 限 于 网 络 层 ; 但 坏 消息 
是 IPv6 不 同 于 了 Pw4 ， 它 具有 必须 被 监督 的 独特 特性 ， 以 及 如 果 某 些 设 置 未 被 关 
闭 ， 则 必须 详细 审查 。 首 先 ，IPv6 不 是 一 项 新 技术 ， 大 规模 的 IPv6 部 署 却 还 没 
有 实现 。 鉴 于 迄今 为 止 IPv6 的 部 署 仍 处 于 较 低 水 准 ,， “臭名 昭著 ”的 攻击 比 高 
能 见 度 、 以 IPv4 为 目标 的 攻击 少 。 识 别 和 处 理 这 些 攻击 的 实际 经 验 有 限 。 相 反 ，， 
伴随 着 一 次 次 IPv4 互联 网 攻击 ， 应 对 攻击 向 量 的 经 验 不 断 累 积 ， 就 能 制定 相应 
的 IPv4 应 对 方案 和 流程 。 

尽管 IPv6 有 某 些 不 同 的 东西 ， 也 引进 了 必须 考虑 的 独特 特性 ,但 是 基于 
IPv4 的 安全 策略 也 能 够 适用 于 IPv6。 例 如 ， 考 虑 以 下 几 点 : 

e 当 IPv4 使 用 ARP 来 将 IP 地 址 关联 到 链 路 层 地 址 时 ，IPv6 使 用 NDP 一 一 
地 址 自动 配置 和 重复 地 址 检测 需要 这 个 协议 。 因 此 ，ARP 攻击 的 缓解 策略 也 应 
该 适用 于 NDP, 

© IPv4 支持 广播 ， 而 IPv6 使 用 知名 的 多 播 来 代替 ， 如 在 DHO F, 

。 当 需 要 逐 跳 的 路 由 器 来 处 理 数 据 报时 ， 路 由 器 资源 会 被 消耗 。 例 如 ， 在 
逐 跳 扩 展 报头 内 使 用 IPv6 路 由 器 警报 选项 。 

© IPv4 的 分 段 是 在 路 由 器 上 进行 的 ， 而 IPv6 是 在 主机 上 进行 分 段 。 

© 移动 IPv6 和 移动 IPv4 相似 ， 但 也 有 很 大 的 区 别 ， 本 章 将 稍 后 讨论 。 

e 由 于 IPv6 庞大 的 子 网 ， 使 用 暴力 ping 来 识别 主机 相对 来 说 是 比较 困难 
的 。 当 然 ， 如 果 您 从 1 开始 给 主机 分 配 地 址 并 逐渐 累加 ， 将 使 得 整个 发 现 过 程 
更 加 简单 。 

。 一 般 来 说 ， 在 IPv4 中 ，ICMP 能 够 被 关闭 ; 而 在 IPv6 F, ICMP 是 一 个 必 
需 的 协议 ， 不 能 完全 被 关闭 。 

© IPv6 扩展 报头 的 存在 使 得 基本 IPv6 报头 很 短小 ， 但 会 导致 与 报头 相关 的 
攻击 。 

© IPv6 协议 栈 软 件 的 不 成 熟 也 有 可 能 存在 容易 被 攻击 的 漏洞 。 

© 正如 本 书 第 3 章 提 及 的 IPv4/IPv6 共存 技术 中 ， 经 常会 包含 多 个 交互 的 部 
件 和 复杂 的 操作 ， 这 也 将 带 来 一 些 容易 愉 露 和 被 攻击 的 安全 漏洞 。 

在 接 下 来 的 IPv6 安全 策略 部 分 将 详细 讨论 这 些 问 题 。 你 应 该 将 更 新 的 网 络 
层 安全 策略 纳入 IPv6 策略 内 。 正 如 你 现在 的 安全 策略 ，IPv6 缓解 策略 应 该 明确 
地 被 管理 层 记 载 、 公 示 、 认 可 ， 以 及 被 网 络 用 户 所 理解 。 接 下 来 的 几 节 将 会 
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重 说 明 那 些 在 寻求 缓解 潜在 的 安全 漏洞 下 所 建议 的 安全 策略 。 
6.3 更 新 你 的 安全 策略 


首先 考虑 IPv6 部 署 的 安全 隐患 ， 其 中 有 许多 安全 隐患 已 在 本 章 指出 ; 然后 
更 新 当前 网 络 的 安全 策略 文件 ， 这 点 非常 重要 。 一 旦 更 新 和 通过 了 修订 的 安全 
策略 文件 ， 就 要 考虑 防火 墙 、 路 由 器 、 服 务 器 、 其 他 基础 设施 和 终端 用 户 设备 
对 策略 支持 、 识 别 存在 的 不 足 。 这 些 不 足 可 以 通过 升级 、 更 换 或 记录 有 效 的 组 
解 策略 来 解决 。 这 些 升级 计划 和 策略 的 实现 都 应 该 与 整体 的 IPv6 实施 计划 成 为 
一 体 ， 与 整体 范围 和 部 署 阶段 相 匹 配 。 本 章 的 其 余部 分 将 讨论 潜在 的 攻击 类 型 
和 按 基本 网 络 安全 类 别 分 类 的 缓解 方法 。 


6.4 网 络 边界 的 监控 和 入 侵 防 护 


抵御 来 自 因特网 攻击 的 第 一 道 防线 就 是 你 的 网 络 边界 。 传 统 面 向 因特网 的 
架构 ， 以 路 由 器 及 包含 可 达 外 部 资源 和 防火 墙 的 “隔离 区 ” (Demilitarized Zone, 
DMZ) 为 特点 ， 这 同样 也 适用 于 IPv6。 为 了 让 IPv6 能 访问 到 你 面向 因特网 的 资 
源 ， 就 需要 IPv6 流量 至 少 能 进入 DMZ。 内 部 用 户 与 IPv6 因特网 目的 地 通信 的 必 
要 条 件 就 是 允许 IPv6 流量 进入 内 网 。 

根据 以 前 记录 的 若干 实例 ， 来 自 因 特 网 的 攻击 包括 企图 渗透 、 拒 绝 服 务 、 
劫持、 阻碍 性 能 的 行为 ， 以 及 通常 破坏 团体 间 IPv4 网 络 基础 设施 的 通信 和 服务 。 
相似 的 攻击 也 可 能 出 现在 IPv6 资源 上 。 考 虑 到 运营 IPv6 相对 缺乏 经 验 ， 众 所 周 
知 的 IPv4 类 型 的 攻击 也 可 能 会 发 生 在 IPv6 节点 上 。 实 际 上 ， 就 像 之 前 提 及 的 ， 
攻击 者 可 能 会 将 IPv6 视 为 既定 的 攻击 对 象 的 一 个 “后 门 ”。 所 以 ， 必 须要 采取 
行动 来 监视 攻击 ， 减 少 漏洞 。 与 此 同时 ， 使 用 具有 记录 丢 报 能 力 的 过 滤器 也 是 
个 好 主意 : 审查 丢弃 的 数据 报 不 仅 有 助 于 找 出 潜在 的 攻击 ， 还 能 识别 出 一 些 本 
应 该 被 允许 通过 的 “好 ” 报 ， 从 而 可 能 需要 更 新 过 滤 配 置 。 


6.4.1 IPv6 地 址 过 滤 


类 似 IPv4 地 址 过 滤 ，IPv6 地 址 过 滤 应 考虑 以 下 策略 : 

。 为 了 防止 使 用 非法 地 址 带 来 的 欺骗 ， 应 丢弃 接收 到 的 未 分 配 的 IPv6 地 址 
空间 的 数据 报 。 根 据 期 望 的 过 滤 度 ， 你 可 以 在 大 范围 分 配水 平 简单 地 进行 过 滤 ， 
可 以 参考 http: //www. iana. org/assignments/ ipv6- address- space/ ipv6- address- space. 
xml!” ， 或 是 明确 IANA 分 配 的 每 一 个 IPv6 Be http: //www. iana. org/assignments/ 


ipv6- unicast- address- assignments/ipv6- unicast- addressassignments. xml!” 
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。 拒绝 具有 以 下 定义 的 源 地 址 和 目的 地 址 的 数据 报 。 

大 部 分 防火 墙 都 允许 建立 在 “第 一 次 匹配 ”基础 上 的 策略 规范 。 因 此 ， 假 设 
想 要 允许 全 部 的 IANA 分 配 的 地 址 空间 ， 那 么 你 只 需 将 此 “2000::/3 alow” 或 
“allow 64; fb: : /96” 语 句 添 加 到 拒绝 访问 列表 中 ; 如 果 你 计划 支持 本 书 第 3 章 讨 
论 的 IP/ICMP IPv4/IPv6 转换 前 级 ， 那 么 使 用 “deny all”; 如 果 你 更 倾向 于 RIR- 
level 过 滤 度 ， 那 么 可 以 明确 允许 过 滤 度 更 精确 的 全 球 单 播 2000:: /3 访问 。 

考虑 以 下 额外 的 安全 策略 : 

。 丢弃 入 站 目的 地 址 或 出 站 源 地 址 为 分 配 和 公告 的 公共 了 Pv6 地 址 空间 外 的 
数据 报 。 

o 配置 单 播 逆 疝 路 径 转 发 (unicast Reverse Path Forwarding, uRPF) 过 
滤 一 一 通过 配置 路 由 来 丢弃 源 地 址 不 可 达 或 是 无 法 通过 最 佳 路 由 的 接口 到 达 的 
数据 报 。 这 将 有 助 于 检测 出 可 能 有 恶意 的 设备 利用 源 地 址 欺骗 发 送 的 数据 报 。 

e 尺 可 能 采用 深度 报 检 测 技术 (Deep- Packet Inspection, DPI) 来 分 析 所 有 
的 IPv6 扩展 报头 的 一 致 性 。 这 将 在 6. 5 节 讨 论 。 

。 考虑 您 的 IPv4 协议 支持 中 “41” 表 示 的 是 一 个 IPv6 隧道 数据 报 。 详 情 
参考 接 下 来 的 IPv4/IPv6 共存 技术 章节 ， 讨 论 支 持 各 类 过 度 技术 对 安全 的 影响 。 

© 于 弃 入 站 的 目的 端口 号 对 应 的 服务 或 应 用 程序 不 支持 外 部 接口 的 数据 报 ， 
如 DHCPv6 对 应 端口 546 和 547。 

。 使 用 具有 身份 认证 功能 的 安全 路 由 协议 。 

。 在 外 部 DNS 上 只 发 布 主机 通过 因特网 可 达 的 DNS 记录 ， 如 Web 服务 器 
和 邮件 服务 器 ， 并 考虑 签署 DNSSEC, 

。 通过 定期 检查 日 志 ， 制 定 一 个 可 用 来 发 现 异 常 的 基准 。 当 然 ， 随 着 越 来 
越 多 的 用 户 加 入 IPv6 网 络 ， 各 流量 模式 可 能 需要 花 一 段 时 间 才 能 趋同 。 


6.4.2 ICMPv6 消息 


ICMPv6 是 IPv6 里 的 核心 部 分 。 然 而 ， 它 也 有 可 能 被 网 络 攻击 利用 。 因 此 ， 
应 该 谨慎 地 考虑 过 滤 处 于 边界 的 ICMPv6 数据 报 (IPv6 下 一 报头 值 为 58)， 并 拒 
绝 错误 消息 类 型 进入 ， 但 除了 那些 包含 你 的 确 需 要 的 消息 类 型 的 ICMPv6 数据 
报 。RFC 4890 ( 即 本 书 参考 文献 [91]) 定义 了 ICMPv6 过 滤 建 议 。 在 错误 消息 
中 ， 以 下 消息 必须 允许 通过 : 

e 类 型 1]。 目 的 地 不 可 达 。 

。 类 型 2。 数据 报 太 大 。 

。 类 型 3。 超 时 。 

e 类 型 4。 参 数 问题 代码 1 和 代码 2 (代码 1 为 遇 到 未 能 识别 的 下 一 报头 ， 
代码 2 为 遇 到 未 能 识别 的 IPv6 扩展 项 ) 。 
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除 此 之 外 ，RFC 不 建议 丢掉 支持 pings 应 用 的 类 型 128 (echo 请 求 ) 和 类 型 
129 (echo 回复 ) 。 很 多 安全 策略 有 意 禁 止 人 站 的 IPv4 echo 请 求 ， 旨 在 阻止 在 一 
个 给 定 的 网 络 里 检测 有 效 的 TP 地 址 。 在 一 个 /64 子 网 内 的 2 个 IPv6 地 址 中 ， 假 
设 不 是 以 ; :1、::2、::3… 这 样 开始 手工 分 配 IPv6 地 址 ， 那 么 检测 主机 将 是 非常 
困难 的 一 件 事 。 因 此 ， 找 到 给 定 IP 地 址 的 主机 很 可 能 就 是 攻击 者 确定 攻击 目标 ， 
或 利用 潜在 “代理 人 ”来 发 动 攻击 的 第 一 步 。 

正常 情况 下 ， 以 下 ICMPv6 错误 消息 不 应 该 被 丢弃 : 

e 类 型 3。 超时 代码 1 (分 段 重 组 超时 )。 

。 类 型 4。 参数 问题 代码 0 (遭遇 错误 的 报头 字段 ) 。 

关于 移动 I Pv6， 也 已 经 定义 了 确定 的 ICMv6 错误 消息 。 如 果 你 的 网 络 明确 
不 支持 移动 IPv6， 以 下 ICMPv6 消息 应 被 过 滤 ; 否则 以 下 类 型 不 该 丢弃 : 

。 类 型 144、145。 本 地 代理 发 现 请 求 /应 答 。 

e 类 型 146, 147, 移动 前 缀 请 求 /公告 。 

e 类 型 154。 移 动 IPv6 代理 路 由 器 请 求 / 公 告 。 

RFC 4890 建议 丢弃 以 下 的 链 路 本 地 流量 ， 且 无 需 特 别 注 意 ， 尽 管 你 可 能 想 
在 安全 策略 中 明确 定义 过 滤 该 类 型 ， 或 是 在 防火 墙 验证 该 操作 : 

e 类 型 133 、134。 路 由 请 求 /公告 。 

e 类 型 135 、136。 和 邻居 请 求 / 公 告 。 

e 类 型 137。 重 定向 。 

e 类 型 141 、142 。 逆 向 邻居 请 求 / 公 告 。 

e 类 型 130 ~132、143。 多 播 监听 、 发 现 监听 查询 ， 报 告 ， 完 成 ， 报 告 (v2). 

e 类 型 148 149, SEND 认证 路 径 请 求 / 公 告 。 

e 类 型 151 ~ 1353。 多 播 路 由 器 公告 (Router Advertisement, RA), WK, 
终止 。 

至 于 那些 只 有 在 特殊 情况 下 才 使 用 的 ICMPv6 也 应 该 丢弃 ,请 仔细 考虑 以 下 
几 种 类 型 ; 

e 类 型 139、140。 和 节点 信息 查询 ， 啊 应 。 

© 类 型 138。 路 由 器 重 编 号 。 

e 类 型 100、101、200、201。 私 人 实验 。 

e 类 型 127、255。 用 于 扩展 的 保留 类 型 。 

。 类 型 150。 用 于 实验 。 

e 类 型 5 ~9、102 ~126、156 ~198。 未 定义 (未 分 配 ) 消息 类 型 。 

除非 想 运 行 一 个 低 功 耗 有 损 的 网 络 (Low- power and Lossy Network, LLN), 
否则 也 可 以 丢弃 ICMPv6 的 类 型 155。 在 LLN 中 ， 该 类 型 用 于 支持 IPv6 路 由 协议 
的 消息 。 
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6.5 扩展 报头 


通常 来 说 ， 路 由 器 只 需要 分 析 IPv6 基本 报头 、 可 能 存在 的 逐 跳 选 项 报头 、 
路 由 报头 前 可 能 存在 的 目的 报头 、 路 由 报头 ， 以 及 如 果 路 由 器 是 支持 shim6 的 边 
界 路 由 器 时 的 shim6 报头 。 然 而 ， 防 火 墙 不 仅 涉 及 路 由 器 需要 处 理 的 报头 ， 还 要 
解析 上 层 协议 报头 来 确定 是 否 应 该 丢弃 或 允许 通过 该 数据 报 。 在 一 个 给 定 的 数 
据 报 中 ， 除 了 可 能 会 出 现在 路 由 报头 前 的 上 层 协议 报头 里 的 目的 选项 报头 ， 每 
个 扩展 报头 都 只 应 该 出 现 一 次 。 这 应 该 是 强制 性 的 ， 以 降低 由 于 链接 扩展 报头 
带 来 的 DOS 型 攻击 的 风险 。 有 效 的 报头 类 型 也 应 该 被 验证 。 

虽然 扩展 报头 是 有 效 且 单一 的 ， 但 攻击 者 仍 有 可 能 利用 它们 看 似 无 境 的 外 
表 来 发 起 攻击 。 例 如 ， 可 以 利用 逐 跳 报头 或 目的 报头 的 填充 选项 来 创造 一 条 隐 
蔽 的 控制 渠道 。 填 充 选 项 原本 是 用 来 填补 报头 选项 的 整数 字 节 边界 ， 不 该 包含 
任何 “数据 ”有 效 负载 。 攻 击 者 可 以 利用 路 由 需 逐 跳 警 报 选项 来 达到 拒绝 服务 
或 降低 网 络 路 由 器 的 性 能 ， 因 为 此 时 路 径 上 的 每 个 路 由 器 必须 更 加 深入 地 检查 
数据 报 ， 这 是 一 种 很 消耗 路 由 器 资源 的 行为 。 

除非 你 正在 使 用 移动 IPv6， 否 则 包含 路 由 报头 的 数据 报 就 应 该 被 过 滤 掉 。 
类 型 0 的 路 由 报头 已 经 过 时 ， 类 型 1 主要 用 于 实验 ， 而 类 型 2 则 支持 移动 路 由 选 
项 。 如 有 和 需要， 至少 且 仅 要 支持 类 型 2 。 

当 一 个 数据 报 的 大 小 超过 了 MTU ， 则 需要 使 用 分 片 报头 。 在 IPv6 F, K 
终端 才能 对 数据 报 分 片 。 过 滤 分 片 数据 报 的 一 个 问题 就 在 于 上 层 报 头 信息 可 能 
不 会 包含 在 第 一 个 分 片 内 ， 因 此 就 需要 对 多 个 分 片 进行 “有 状态 的 ”分 析 才 能 
决定 该 数据 报 的 命运 。 攻 击 者 可 能 通过 发 送 许多 小 数据 报 分 片 ， 来 阻止 以 上 处 
理 过 程 ， 或 者 通过 发 送 恶 意 信 息 或 故意 拒绝 服务 来 阻止 完全 过 滤 。 小 于 1280 F 
节 的 数据 报 分 片 都 值得 怀疑 ， 因 为 1280 字 节 是 IPv6 MTU 的 最 小 值 。 

除非 是 你 的 网 络 里 (路 由 或 主机 ) 明确 需要 的 报头 ， 未 知 的 扩展 报头 类 型 
都 应 该 被 丢弃 。 在 已 存在 的 各 类 报头 类 型 中 ， 较 新 的 逐 跳 选项 和 目的 选项 被 定 
义 为 额外 选项 ”1 。 除 了 之 前 讨论 的 ICMPv6， 可 以 借鉴 当前 IPv4 的 过 滤 实 践 。 
请 记 住 ， 在 IPv4 网 络 存 在 的 (分 布 式 ) 拒绝 服务 攻击 、 绥 冲 区 溢出 攻击 、 跨 站 
点 脚本 注入 、SQL 注入 和 其 他 上 层 攻击 ， 也 可 能 发 生 在 IPv6 网 络 中 。 


6.6 内 部 网 络 保护 


许多 组 织 通过 建立 一 个 很 强大 的 边界 和 入 侵 检 测 系统 来 保护 它们 的 内 部 网 
络 。 但 是 ， 内 部 网 络 保护 也 是 必需 的 ， 以 防止 有 意 或 无 意 的 内 部 攻击 ， 而 且 也 
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应 该 是 避免 外 部 攻击 连 和 内 网 的 第 二 道 防线 。 
6.6.1 网 络 侦查 


如 果 一 个 攻击 者 正在 寻找 一 台 主 机 来 安装 蠕虫 或 是 后 门 代理 ， 那 么 他 的 第 
一 步 通常 是 侦查 寻找 潜在 的 受害 者 。 在 IPv4 中 ， 如 果 人 允许 ping 扫描 的 话 ， 则 能 
提供 一 种 简单 上 且 快 速 的 方式 来 检测 一 个 子 网 内 活跃 着 的 卫 地 址 。 在 一 台 给 定 的 
主机 上 增加 TCP 端口 放 开 (SYN) 也 能 被 用 来 尝试 识别 该 台 主 机 的 操作 系统 。 
在 IPv6 中 ,根据 RFC 5157 《IPv6 网 络 扫描 的 影响 》( 即 本 书 参考 文献 [93 ] ) ， 
通过 ping 扫描 一 个 /64 子 网 需要 花费 50 亿 年 。 然 而 ，RFC 5157 也 指出 ， 子 网 内 
这 种 难以 预测 的 、 稀 玖 的 IPv6 地 址 分 配 不 是 一 个 “安全 方案 ”， 尽 管 它 能 帮助 
降低 蠕虫 依赖 网 络 扫描 传播 的 有 效 性 。 另 一 方面 ， 你 从 ::1、:: 2 等 开始 手动 分 
配子 网 地 址 的 话 ， 那 么 扫描 的 工作 将 会 容易 很 多 。 

如 果 你 正在 使 用 没有 私有 扩展 的 SLAAC， 假 设 攻击 者 能 够 确定 在 网 络 上 普 
遍 使 用 的 网 卡 制造 商 ， 那 么 他 /她 能 够 从 2 个 卫 地 址 中 极 大 地 减少 候选 地 址 。 
一 位 前 雇员 或 同事 或 许 知道 网 卡 的 制造 商 ， 可 以 计算 出 8 字 节 接口 ID 中 的 前 5 
个 字 节 ， 即 能 利用 每 个 网 卡 制作 商 以 太 网 OUI 将 扫描 范围 减少 到 2”* 内 。6 字 节 
MAC 地 址 中 前 3 个 字 节 包含 了 IEEE 分 配 的 OUI。 倒 数 第 7 个 最 重要 的 位 是 修改 
EUI-64 过 程 的 一 部 分 。 然 后 追加 Oxfffe, IDD 的 前 40 位 就 可 推导 出 来 了 。 接 下 来 
只 需 找到 剩 下 的 24 位 。 参 考 RFC 5157 里 “每 秒 扫描 一 个 地 址 ”的 速度 来 扫描 ， 
则 需要 花费 195 天 (或 6.5 个 月 ) 依旧 宛 长 的 时 间 但 却 远 远 短 于 50 亿 年 ! 

你 可 以 使 用 SLAAC 私有 扩展 '” 来 避免 这 种 确定 的 接口 DD 计算 ， 以 避免 这 
种 攻击 向 量 。SLAAC 私有 扩展 阻止 了 猜测 地 址 的 行为 ， 但 却 使 得 网 络 管理 更 具 
挑战 性 一 一 在 IPv6 中 ， 花 精力 将 特定 IP 地 址 与 特定 主机 关联 起 来 的 日 子 已 经 一 
去 不 复 返 了 ， 但 是 使 用 私有 扩展 会 为 此 增加 难度 。 网 络 管理 工具 在 取证 和 故障 
排除 中 可 以 通过 使 用 定期 轮 询 交换 机 和 路 由 器 来 追踪 IPv6- MAC 地 址 的 关联 。 


6.6.2 网 络 访问 


除了 发 现 已 分 配 IPv6 地 址 的 已 有 主机 外 ， 另 外 一 种 本 地 网 络 攻击 涉及 攻击 
者 在 给 定子 网 中 获得 自己 的 IPv6 地 址 。 这 种 形式 的 攻击 可 能 始 于 在 用 户 网 络 中 
远程 安装 僵尸 程序 的 恶意 尝试 , 例如， 访客 设备 在 会 议 室 无 意 地 接 入 网 络 ， 或 
其 他 各 种 “意外 ”的 网 络 接 入 形式 。2000 年 中 期 ， 网 络 准 入 控制 (Network Ad- 
mission Control, NAC) 的 准则 层 是 个 很 热门 的 话题 。 当 时 ， 几 家 知名 的 厂商 提 
供 了 一 系列 有 关于 检测 IP 网 络 接 入 ， 限 制 未 知 或 未 认证 的 设备 接 入 网络， 以 及 
加 强 设备 扫描 和 病毒 防护 更 新 等 的 解决 方案 。 

一 些 IPv4 NAC 的 设计 原则 也 可 以 应 用 于 IPv6 NAC, 但 是 NAC 的 实现 却 没 
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那么 简单 ， 通 常 需要 协调 两 个 或 更 多 的 网 络 设备 。 例 如 ， 第 二 层 的 NAC 方案 将 
涉及 通过 捕捉 来 自 交 换 机 的 简单 网 络 管理 协议 (Simple Network Management Pro- 
tocol, SNMP) 陷阱 (trap) 来 检测 相应 交换 机 端口 是 否 被 激活 (“link up”) ， 然 
后 由 Radius 服务 需 通 过 上 AP 协议 向 端口 发 起 认证 挑战 。 第 三 层 NAC 方案 涉及 一 
A DHCP 服务 器 、 一 个 DNS、 一 个 认证 服务 器 和 一 个 设备 扫描 服务 器 。 这 些 方 
案 将 在 第 8 RARE, 

当然 ，IPv6 增加 了 另外 一 种 IPv4 不 支持 的 地 址 分 配 形式 一 一 SLAAC。 设 备 
将 自动 配置 IPv6 地 址 ， 并 进行 地 址 重复 检测 ， 然 后 连 入 网 络 。 如 果 该 设备 有 意 
或 无 意 地 冒充 路 由 器 ， 它 可 能 在 链 路 上 放出 错误 的 路 由 公告 ， 以 致 拒绝 服务 或 
拦截 数据 报 。 在 你 的 交换 机 上 利用 RA- guard 技术 来 阻 断 来 自 不 是 与 路 由 器 连接 
的 端口 的 RA 消息 ， 能 够 减少 这 类 攻击 。RFC 6105 详 述 了 该 技术 。 

网 络 中 的 设备 在 收 到 “合法 ”的 设置 “M” 位 的 路 由 公告 时 ， 这 样 的 设备 
支持 使 用 DHCPv6 来 分 配 地 址 ， 但 是 大 部 分 攻击 者 并 不 遵循 任何 规则 。 在 处 理 一 
个 特定 源 地 址 发 来 的 数据 报 之 前 ，DHCP 的 LeaveQuery 功能 可 以 用 来 验证 该 地 址 
是 否 是 由 DHCP 所 分 配 的 地 址 。 该 功能 的 运行 方式 是 路 由 器 一 旦 收 到 相连 子 网 
上 设备 发 来 的 数据 报 ， 就 发 送 一 个 LeaseQuery 请 求 给 DHCP 服务 器 来 确定 : 由 
MAC 地 址 〈 通 过 DHCPw4) 或 IPv6 地 址 (或 DUID， 如 果 知 道 的 话 ) 所 标识 的 
设备 ， 是 否 有 一 个 有 效 的 租 期 。 如 果 不 是 ， 那 么 该 数据 报 将 会 被 丢弃 或 是 按照 
路 由 策略 来 处 置 。 该 方法 肯定 会 增加 路 由 融 数 据 报 处 理 功能 的 开销 ,但 在 某 些 
环境 中 可 能 是 值得 的 。 另 一 种 可 选 方法 是 在 你 的 网 络 里 利用 SEND 协议 对 使 用 邻 
节点 发 现 协议 的 设备 进行 认证 。 

6.6.3 DHCPv6 


DHCPv6 具有 和 IPv4 大 致 相同 的 漏洞 ， 除 此 之 外 ， 攻 击 者 接 人 你 的 网 络 后 
通过 监听 所 有 的 DHCPv6 (代理 和 ) 服务 器 多 播 地 址 一 一 ff02: :1:2 (本 地 链 路 ) 
或 ff05: :1:3 (本 地 站 点 ) ， 可 以 更 加 容易 地 建立 一 个 恶意 的 DHCPv6 服务 器 ， 并 
处 理 请 求 (Solicit) 或 更 新 (Renew) 消息 。DHCP 和 DHCPv6 都 支持 认证 机 制 ， 
但 实际 上 由 于 初始 配置 的 复杂 性 ，IPv4 上 的 认证 机 制 很 少 被 实施 。 如 果 DHCPv6 
服务 器 支持 禁用 这 些 多 播 地 址 ， 可 以 通过 用 DHCPv6 服务 器 IPv6 单 播 地 址 来 配 
置 中 继 代理 ， 将 DHCPv6 服务 器 配置 成 “老式 ”的 可 达 方 式 。 通 过 周期 性 地 轮 
询 每 个 路 由 器 上 的 邻接 表 来 查看 谁 在 网 络 上 ， 并 与 之 前 的 记录 进行 比较 来 检测 
网 络 上 的 新 设备 是 否 通 过 DHCPv6 SLAAC 或 甚至 是 手动 配置 了 新 地 址 。 


6.6.4 DNS 
如 果 一 个 网 络 没 有 配置 为 从 可 信任 的 DHCPv6 服务 器 产生 动态 DNS 
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(Dynamic DNS, DDNS) 更 新 ,那么 DNS 更 新 安全 则 是 另 一 个 需要 考虑 的 问题 。 
当 使 用 DHCPv6 时 ， 可 以 在 ACL 中 定义 允许 更 新 DNS 信息 的 DHCPv6 服务 器 IP 
地 址 集合 ， 除 了 如 IPAM 系统 等 管理 系统 外 。 仅 允许 固定 的 节点 或 地 址 集合 对 
DNS 更 新 ， 简 化 了 DNS 的 ACL 规范 。 当 静态 配置 IPv6 地 址 或 使 用 SLAAC 时 ， 
DDNS 需要 更 新 的 地 址 范围 可 能 跨越 整个 网 络 ， 这 将 使 得 DNS 易 受 到 有 害 更 新 
的 攻击 。 首 先 要 问 的 是 ， 此 类 主机 是 否 需 要 DNS 条 目 。 当 然 ， 对 于 Web 服务 
器 、 打 印 机 、 应 用 服务 器 等 用 户 使 用 URL 或 名 字 接 入 的 主机 来 说 ，DNS 解析 是 
需要 的 ，DNS 中 的 条 目 是 至 关 重 要 的 。 许 多 组 织 创建 DNS 条 目 至 少 是 为 了 正 向 
域名 查询 (主机 域名 到 IP 地 址 的 查询 ) 。 反 向 查询 (P 地址 到 域名 ) 是 某 些 应 
用 需要 的 ， 此 时 需要 证 明 存 在 一 个 基本 的 安全 措施 。 你 可 以 选择 占 位 符 解 析 信 
息 或 是 通配符 子 域 (如 *. 8. b. d. 0.1.0.0.2.ip6. arpa) 等 变形 DNS 来 最 小 化 满 
足 现 有 需求 。 使 用 IPAM 系统 (将 在 本 书 第 7 章 讨 论 ) ， 可 以 为 手动 配置 的 IPv6 
地 址 自动 化 地 创建 和 提供 正 向 和 反 向 的 资源 记录 。 


6.6.5 (EH 


如 果 你 正在 使 用 任 播 寻 址 ， 如 使 用 一 个 分 配给 多 个 服务 器 的 公有 IPv6 地 址 ， 
可 以 考虑 配置 服务 器 用 这 个 任 播 地 址 作为 返回 数据 报 的 源 地 址 来 响应 一 个 到 任 
播 地 址 的 入 站 数据 报 。 这 种 方法 适用 于 查询 /响应 的 应 用 ,但 在 面向 连接 的 应 用 
中 可 能 更 不 可 靠 。 正 如 RFC 4942 ( 即 本 书 参考 文献 [95 ] ) 指出 的 ， 这 种 方法 
避免 了 服务 器 单 播 地 址 被 检测 到 ， 特 别 是 当 请 求 被 直接 转发 到 一 个 如 DNS 这 样 
的 关键 网 络 服务 器 时 。 


6.6.6 内 部 网 络 过 滤 


在 其 他 内 部 网 络 漏洞 方面 ， 推 荐 将 之 前 讨论 过 的 以 下 过 滤 方 法 应 用 到 内 部 
路 由 器 来 保护 网 络 边界 。 

。 于 弃 接口 上 接收 的 源 地 址 不 在 给 定 接口 前 级 范围 内 的 数据 报 。 

。 过 滤 没 有 在 你 的 网 络 上 明确 定义 使 用 的 ULA 地 址 空间 。 如 果 需 要 的 话 ， 
拒绝 表 6-1 给 出 的 未 分 配 或 不 合法 地 址 空间 产生 的 流量 。 

o 使 用 认证 功能 来 保护 路 由 协议 安全 。 请 注意 ，OSPFv3 提供 了 两 种 形式 的 
认证 : IPSec 只 最 初 指 定 或 结尾 段 认 证 (Authentication Trailer) 。 

。 丢弃 具 有 路 由 报头 的 数据 报 ， 除 非 你 支持 移动 IPv6 ， 而 且 只 接收 具有 类 
型 2 的 路 由 报头 的 数据 报 。 

© 于 弃 邻 节点 发 现 、 重 复 地 址 检测 及 SLAAC ICMPv6 产生 的 没有 本 地 链 路 
或 未 指明 的 地 址 (::/128)， 或 不 在 255 跳 内 的 数据 报 。 如 果 数 据 报 从 一 个 不 同 
于 本 地 网 络 的 源 地 址 发 送 过 来 ， 将 会 阻止 这 些 消息 的 处 理 。 考 虑 实现 SEND ， 如 
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果 你 的 网 络 设备 支持 的 话 (不 幸 的 是 微软 的 操作 系统 暂时 还 不 文 持 SEND), A 
则 ， 可 以 考虑 创建 更 多 较 小 的 子 网 ， 而 不 是 更 少 的 较 大 子 网 ， 来 减少 暴露 给 本 
地 网 络 攻击 的 范围 。 

。 除非 在 特殊 情况 下 需要 使 用 ， 这 些 ICMPv6 类 型 的 数据 报应 该 被 丢弃 ， 
仔细 考虑 以 下 类 型 。 

V 类 型 139、140。 和 节点 信息 查询 ， 响 应 。 

V 类 型 138。 路 由 重 编号 。 

V 类 型 100、101、200、201。 私 人 实验 。 

V 类 型 127、255。 用 于 扩展 的 保留 类 型 。 

V 类 型 150。 用 于 实验 。 

V 类 型 5~99、102 ~126、156 ~198。 未 定义 (RIM) 消息 类 型 。 

© 定期 检查 日 志 以 便 制 定 一 个 基准 用 于 发 现 异常 。 


表 6-1 地 址 空间 过 滤 建 议 
过 滤 的 地 址 原 K 


拒绝 不 明确 的 源 地 址 或 目的 地 址 
zil 拒绝 回环 的 源 地 址 或 目的 地 址 
21/96 拒绝 IPv4- 兼 容 的 源 地 址 或 目的 地 址 
: : ffff: 0: 0/96 拒绝 IPv4- 映射 的 源 地 址 或 目的 地 址 


拒绝 非法 6to4 源 地 址 或 目的 地 址 (分别 对 应 的 
IPv4 Hh HE: 0.0.0.0/8, 127.0.0.0/8, 255.0.0.0/8, 
224. 0. 0. 0/3 

(224. 0. 0. 0/4&240. 0. 0.0/4) , 100. 64. 0. 0/10, 

10.0.0.0/8, 172. 16.0.0/12, 

192. 168.0.0/16, 169.254.0.0/16, 192.0. 0. 0/24, 
192. 0.2.0/24, 198. 18.0.0/15, 

198. 51. 100. 0/24, 203. 0. 113. 0/24) 


2002: : /24, 2002: 7f00: :/24, 2002: ff00: : /24, 
2002: e000: : /19, 2001: 6440: : /26, 

2002: 0a00: : /24, 2002: acl0::/28, 

2002: c0a8: : /32, 2002: a9fe: : /32, 

2002: c000: : /40, 2002: e000: 200: : /40, 
2002: c612::/31, 2002: c633: 6400: : /40, 
2002: cb00: 7100: : /40 


拒绝 外 部 或 穿 过 内 网 的 链 路 本 地 源 地 址 或 目的 

fe80: : /10 
地 址 
fec0: : /10 拒绝 不 被 接受 的 站 点 本 地 源 地 址 或 目的 地 址 
nok 拒绝 多 播 地 址 作为 源 地 址 、 拒 绝 带 有 非 全 网 范围 
的 目的 多 播 地 址 却 越界 的 数据 报 

2001: db8: : /32 拒绝 文件 编制 的 源 地 址 或 目的 地 址 
3ffe: : /16 拒绝 不 被 接收 的 6bone 源 地 址 或 目的 地 址 
ae 拒绝 越界 的 IPv6 “私有 ” (唯一 本 地 ) 源 地 址 或 
aa 目的 地 址 
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6.7 网 络 设备 的 安全 性 考量 


对 于 网 络 和 终端 用 户 设备 来 说 ， 最 后 一 道 防线 当然 是 设备 自身 的 安全 措施 。 
如 今 ， 在 IPv4 中 普遍 使 用 的 主机 安全 措施 也 同样 适用 于 IPvw6 ， 包 括 以 下 几 项 ， 
。 物理 安全 控制 ， 如 网 络 和 应 用 的 基础 设施 。 
安全 访问 ， 通 过 本 地 控制 台 ，SSH 或 其 他 应 用 层 网 络 协 议 。 
密码 管理 策略 。 
终端 用 户 设备 安全 策略 和 指令 。 
主机 数据 报 过 滤 和 防火 墙 。 
V 只 允许 支持 服务 (协议 和 端口 ) 的 数据 报 通 过 。 
V 拒绝 具有 表 6-1 给 出 的 非法 源 地 址 的 数据 报 。 
V 基于 已 定义 类 型 及 你 的 网 络 中 使 用 的 服务 ， 来 允许 ICMPv6 数据 报 入 站 / 
出 站 ， 正 如 在 内 部 网 络 安全 章节 讨论 的 那样 。 
V 拒绝 具有 错误 或 未 知 的 IPv6 报头 的 数据 报 入 站 /出 站 
V 允许 或 拒绝 在 你 的 网 络 明确 规定 的 隧道 协议 ， 如 6to4 和 ISATAP, 
另外 ， 如 果 正 在 使 用 的 主机 操作 系统 支持 过 滤 ICMPv6 数据 报 ， 检 查 关 于 全 
部 或 部 分 IPv6 数据 报 的 ICMPv6 错误 消息 是 否 是 真正 需要 由 主机 发 送 ， 如 果 不 是 
则 丢弃 掉 。ICMPv6 攻击 可 能 伪造 错误 消息 希望 主机 处 理 虚 假 的 数据 报 来 侵入 
设备 。 


6.8 移动 IPv6 安全 


本 书 第 2 章 介绍 的 范围 包括 了 关于 移动 IPv6 的 基本 概念 。 为 了 更 好 地 理解 
该 协议 的 安全 隐患 ， 那 么 先 来 了 解 通信 路 径 是 怎么 在 移动 节点 ( Mobile Node, 
MN) 、 本 地 代理 (Home Agent, HA) 和 通信 节点 (Correspondent Node, CN) 间 
建立 的 。 回 想 一 下 ，MN 是 移动 IPv6 设备 ，HA 是 为 MN 与 其 本 地 地 址 (Home 
Address，HoA ， 如 在 DNS 上 公布 的 MN 地 址 ) 提供 连接 服务 的 路 由 器 ，CN 是 与 
MN 相互 通信 的 主机 。 

当 MN 在 其 归属 网 络 时 ，CN 发 送 数据 报 给 HoA，HA 通过 本 地 链 路 将 它们 
传输 给 MN。 当 MN 漫游 时 ， 它 将 从 它 当 前 归属 的 网 络 上 获取 一 个 IPv6 地 址 。 这 
个 地 址 就 是 转交 地 址 ( Care-of Address，CoA) 。 当 MN 漫游 时 将 会 通知 HA 它 当 
前 的 CoA 地 址 。 使 用 这 种 方式 ， 当 CN 发 送 数据 报 给 HoA 时 ，HA 就 会 拦截 这 些 
数据 报 并 使 用 其 CoA 将 它们 隧道 传送 给 MN。 返 回 的 数据 报 则 通过 HA 北向 路 径 
发 送 回 来 。 这 种 间接 模式 利用 了 HA 到 MN 的 所 有 的 通信 。 还 有 一 种 更 加 有 效 且 
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直接 的 方式 可 以 使 CN 和 MN 直接 通信 而 不 需要 使 用 HA 隧道 传送 。 下 面 来 了 解 
一 下 这 两 种 通信 模式 是 怎么 创建 的 。 


6.8.1 移动 扩展 报头 


移动 扩展 报头 支持 当前 可 达 MN 地 址 相关 绑 定 信息 的 通信 。 移 动 报头 
(Mobile Header, MH) 的 类 型 字段 值 定义 了 消息 的 类 型 和 相关 参数 : 

。 绑 定 更 新 (移动 报头 类 型 值 为 5)。 通 过 MN 发 送 给 HA 或 CN 来 更 新 其 
CoA 绑 定 。 

。 绑 定 确认 (移动 报头 类 型 值 为 6) 。 通 过 CN 或 HA 发 送 给 MN 来 确认 一 
个 绑 定 更 新 或 报告 一 个 错误 。 

o 绑 定 错误 (移动 报头 类 型 值 为 7) 。 通 过 CN 发 送 给 MN 指示 一 个 移动 有 
关 的 错误 ， 其 中 包括 目的 选项 报头 的 归属 地 址 选项 没有 一 个 现 有 的 绑 定 。 

。 绑 定 更 新 请 求 〈 移动 报头 类 型 值 为 0) iat CN 发 送 给 MN 请 求 在 现 有 
绑 定 上 更 新 。 正 如 接 下 来 将 要 讨论 的 ， 移 动 IPv6 支持 返回 路 径 可 达 过 程 ( Re- 
turn Routability Procedure，RRP) ， 这 能 够 使 CN 验证 MN 存在 HoA 和 CoA 地址， 
以 便 它 可 以 可 靠 地 接收 来 自 MN 的 绑 定 更 新 的 消息 。 

绑 定 更 新 是 由 MN 发 送 至 HA 用 来 注册 MN 当前 的 CoA 的 。 这 些 更 新 必须 通 
过 安全 协议 IPSec 相互 传达 。 如 图 6-1 所 示 ， 其 中 消息 类 型 由 各 自 的 MH 定义 ; 
目的 选项 报头 (Destination Options Header, DOH), ， 路 由 报头 (Routing Header, 
RH) 和 ICMPv6 类 型 的 值 如 图 所 示 。 其 他 报头 参数 ， 即 源 IPv6 地 址 标记 为 S， 
目的 地 址 标记 为 D， 在 每 个 消息 里 标注 。 

如 图 6-1 所 示 ， 在 移动 节点 获取 到 一 个 CoA 后 ， 它 可 能 需要 执行 一 个 发 现 
归属 代理 地 址 和 前 级 的 任务 。HA 地 址 发 现 允 许 一 个 操作 者 使 用 另外 的 一 个 HA 
地 址 ， 而 不 是 将 HA 地 址 人 硬 编码 人 每 个 MN。 请 注意 ， 在 HA 地 址 发 现 过 程 中 没 
有 强制 的 安全 需求 。MN 发 送 一 个 HA 地 址 发 现 消息 (ICMPv6 消息 类 型 144) 给 
归属 代理 任 播 地 址 ( | 归属 网 络 IPv6 前 级 |::7e)。HA 使 用 活跃 的 归属 代理 地 址 
及 ICMPv6 消息 类 型 145 来 回复 。 一旦 HA 被 识别 ，MN 可 以 从 归属 代理 请 求 一 
个 前 缀 公告 ， 该 公告 与 固定 网 络 的 路 由 公告 相似 。 请 求 前 缀 和 公告 的 消息 可 以 
使 用 IPSec 安全 关联 发 送 ， 可 选择 使 用 封装 安全 负载 (Encapsulated Security 
Payload ，ESP) 。 随 后 就 是 绑 定 更 新 过 程 ， 该 过 程 允 许 MN 向 HA 注册 ; 绑 定 更 
新 过 程 需要 安全 关联 。 

对 于 直接 路 由 〈 换 名 话说 ，MN 和 CN 不 通过 HA 路 由 ) 来 说 ， 其 绑 定 更 新 
和 刷新 过 程 被 称 为 RRP。 这 个 过 程 〈 见 图 6-2) 需要 MN 通过 发 送 相应 的 “初始 
化 ”消息 ， 本 地 测试 初始 化 (Home Test Init, HoTI) 消息 和 转交 测试 初始 化 
(Care-of Test Init，CoTI) 消息 ， 来 初始 化 归属 测试 和 转交 测试 。HoTI 消息 使 用 
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移动 节点 被 访问 的 网 络 本 地 代理 通信 节点 
获取 CoA 
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Mt e i 


~ (SLAAC,DHCPv6) 
本 地 代理 发 现 请 求 
S:CoA| D:HA anycast | ICMPv6 type 144 
5 本 地 代理 发 现 回复 
S:HA| D: CoA| ICMPv6 type 145 
移动 前 级 请 求 
S:CoA| D:HA|DOH: MN’s HoA|ICMPvé6 type 146 R 
L BAMA eee) 
S:HA| D:CoA |RH type2 MN’s HoA|ICMPvé6 type 147 


绑 定 更 新 
S:CoA | D:HA| DOH: MN’s HoA |MH type 5 i Sos 
绑 定 确认 IPSec 隧道 (必需 ) 
S:HA| D:CoA| RH type2 MN’s HoA |MH type 6 


图 6-1 归属 代理 发 现 和 移动 节点 注册 


S 1 5 
移动 节点 被 访问 的 网 络 本 地 代理 


HoIIS:COA| D:HA{ HoTI 
S:HoA| D:CN| MH type 1} S:HoA| D:CN|MH type 1} 


HoT 
HoT S:HA| D:CoA{ —— - - 
S:CN| D:HoA| MH type 3 S:CN | D:HoA MH type 3} 


W * Hf 


通信 节点 


A 


| B | CoTI 

S:CoA | D:CN [MH type 2 | 
本 CoT 7 7 | 
S:CN | D:CoA | MH type 4 


S:CoA|D:HA|DOH:MN’s HoA|MH type 5 


REMA 
S:HA|D:CoA|RH type2 MN’s HoA|MH type 6 


IPSec 隧道 (必需 ) 


图 6-2 移动 IPv6 返回 路 由 可 达 


MN 的 HoA 作为 源 地 址 ，CN 的 地 址 作为 目的 地 址 ， 并 通过 增加 一 个 带 有 源 地 址 


为 CoA 和 目的 地 址 为 HA AY IPv6 报头 通过 隧道 方式 传送 给 HA, HA 除去 隧道 报 
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头 后 ， 将 HoT 消息 路 由 给 CN。 然 后 ，CN 回复 给 HA, HA 通过 隧道 回复 给 MN。 

CoTI 消息 直接 从 MN 发 送 到 CN， 它 将 其 CoA 作为 源 地 址 ，CN 作为 目的 地 
址 。CN 也 直接 回复 MN。 除 了 确认 可 路 由 之 外 ，RRP 为 CN 提供 了 一 层 保障 ， 
MN 的 HoA 和 CoA 地 址 都 是 可 寻 址 的 。MN 在 给 CN 的 每 个 初始 消息 中 包含 一 个 
cookie。 然 后 ，CN 使 用 相应 的 cookie 、 注 册 机 令 牌 和 存储 在 CN 上 的 随机 数 的 索 
引 来 响应 。 归 属 [地 址 ] 的 注册 机 令 牌 是 一 个 使 用 Kes HA HoA 串联 得 到 的 
hash 值 ， 随 机 数 是 参考 返回 的 索引 和 一 个 单独 的 值 为 “0” 的 字 节 。 相 似 地 ， 转 
交 注 册 机 令 牌 为 一 个 使 用 CN 的 Koy A CoA 串联 得 到 的 hash 值 。 随 机 数 是 参 
考 返 回 的 索引 和 一 个 单独 的 值 为 “1” 的 字 节 。 其 中 用 “| ”来 表示 连接 。 

home keygen token =hash (Key, (HoA |nonce| 0) ) 
care- of keygen token = hash (Key, (CoA |nonce| 1)) 

MN 通过 对 归属 注册 机 令 牌 和 转交 注册 机 令 牌 串联 得 到 的 字符 串 执行 hash 

算法 ， 来 生成 一 个 绑 定 值 Kuw ， 该 值 用 于 发 送 给 CN 的 绑 定 更 新 消息 的 认证 9 : 
Kpu = hash (home keygen token | care- of keygen token) 

然后 ，Ksw 用 来 生成 MN 的 CoA, CN 地 址 和 绑 定 更 新 消息 三 者 串联 的 hash 
值 。HoA 与 归属 随机 数 索 引 和 转交 随机 数 索 引 标记 一 起 在 绑 定 更 新 消息 内 被 传 
送 。 图 6-2 所 示 的 移动 IPv6 返回 路 由 可 达 性 ， 说 明了 消息 交换 的 过 程 。 通 常 ， 
MN 同时 发 送 HoTI 和 CoTI 消息 ， 其 中 消息 类 型 由 图 6- 2 所 示 的 和 以 下 描述 的 
MH 类 型 值 所 定义 。 其 他 报头 参数 为 ， 在 每 个 消息 中 IPv6 源 地 址 标记 为 S， 目 的 
地 址 标记 为 D; 大 括号 内 为 内 部 (被 隧道 ) 数据 报 参数 ， 跟 随 在 显示 的 外 部 数 
据 报 值 后 。 

以 下 四 种 消息 也 能 使 用 移动 报头 发 送 : 

e HoTI 消息 (移动 报头 类 型 值 为 1)。 通 过 到 HA 的 隧道 从 MN 发 送 到 CN, 
来 请 求 CN 的 归属 测试 回应 。 

© CoT 消息 (移动 报头 类 型 值 为 2)。 从 MN 发 送 到 CN, WR CN 的 转交 测 
试 回应 。 

© HoT 消息 (移动 报头 类 型 值 为 3) 。 通 过 HA 从 CN 发 送 到 MN， 以 回应 来 
自 MN 的 HoTI。 

© CoT 消息 (移动 报头 类 型 值 为 4)。 从 CN 发 送 到 MN， 以 回应 来 自 MN 的 
CoTI。 

其 他 移动 报头 类 型 已 经 被 定义 用 作 快 速 绑 定 、 活 跃 移动 切换 、 心 跳 和 绑 定 
撤销 。 当 前 被 定义 的 类 型 由 IANA 维护 ， 详 情 如 下 : http: //www. iana. org/ 


O ”为 了 删除 先前 的 绑 定 ， 只 需 使 用 归属 地 注册 机 令 牌 来 生成 Kew 进 行 身 份 验证 ， 即 Kpu = hash (2 
钥 生 成 令 牌 ) 。 
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assignments/ mobility- parameters/mobility- parameters. xml, 
6.8.1.1 路 由 报头 类 型 2 

路 由 报头 类 型 2 支持 直接 路 由 从 CN 到 MN 的 CoA 的 IPv6 数据 报 。 路 由 报 
头 必须 被 路 径 上 的 每 一 个 路 由 器 分 析 。 路 由 报头 类 型 2 可 能 只 包含 一 个 IPv6 地 
址 ， 一 个 MN 的 归属 地 址 。 因 此 ， 当 数据 报到 达 MN 的 指定 CoA 地 址 时 ， 它 将 
尝试 处 理 报头 来 取出 HoA 和 其 固定 地 址 。 这 意味 着 ，MN 将 会 终止 路 由 并 处 理 
数据 报 ( 即 在 MN 的 “本 地 接口 ”之 间 转 发 ) 。 
6.8.1.2 目的 选项 报头 

移动 IPv6 利用 标准 的 IPv6 目的 扩展 报头 来 使 漫游 的 MN 将 其 HoA 传递 给 接 
收 者 。 该 信息 是 由 目的 选项 报头 中 的 归属 地 址 选项 来 传送 的 。 
6.8.1.3 移动 IPV6 消息 流量 小 结 

图 6-3 所 示 的 移动 IPv6 消息 流量 ， 说 明了 返回 路 由 可 达 过 程 后 的 绑 定 更 新 / 
确认 过 程 和 正常 的 IPv6 通信 。 


S i 3 ; 


移动 节点 被 访问 的 网 络 本 地 代理 通信 节点 


HoTI S:CoA1D:HA! © HoTI 
S:HoA| D:CN | MH type 1} S:HoA D:CN MH type 1 


p HoT 
S:CN D:HoA MH type 3 


HoT S:HA | D:CoA{ 
S:CN | D: HoA| MH type 3} 


BREAK 
A 


CoTI 
S:CoA | D:CA | MH type 2 
CoT 


S:CN | D:CoA| MH type 4 
绑 定 更 新 

ARE S:CoA| D:CN|DOH:MN’s HoA| MH type 5 

更 新 | _ 绑 定 确认 

S:CN | D:CoA | RH type 2: MN’s HoA| MH type 6 (or 0 or 7) 
数据 报 
数据 S:CoA|D:CN|DOH: MN’s HoA 
传输 | 数据 报 
S:CN| D:CoA| RH type 2: MN’s HoA 


图 6-3 移动 IPv6 消息 流量 


a 


6.8.1.4 移动 ICMPv6 

正如 本 书 第 2 章 讨论 的 ， 移动 IPv6 规范 已 经 定义 了 一 些 ICMPv6 消息 类 型 。 
为 了 方便 ， 在 此 复述 一 下 。 

。 归属 代理 地 址 发 现 请 求 (ICMPv6 类 型 值 为 144) 。 人 允许 MN 初始 化 动态 
HA 发 现 。 为 移动 的 HoA 前 绥 寻 址 归属 代理 任 播 地 址 ， 这 使 得 移动 时 能 够 确定 归 
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属 网 络 中 的 HA ， 如 漫游 时 HA 将 被 重新 配置 。 
。 归属 代理 地 址 发 现 应 答 (ICMPv6 类 型 值 为 145)。HA 回复 一 个 归属 代理 
地 址 发 现 请 求 ， 来 确定 移动 HA 的 单 播 地 址 。 

。 移动 前 级 请 求 (ICMPv6 类 型 值 为 146)。 使 得 MN 能 收集 有 关于 其 归属 
网 络 的 前 缀 信息， 如 当归 属 网 络 发 生 重 配 置 时 。 

。 移动 前 级 公告 (ICMPv6 类 型 值 为 147) 。HA 通过 这 类 消息 公告 当前 归属 
网 络 前 级 信息 。 

© 移动 IPv6 快速 切换 消息 (ICMPv6 类 型 值 为 154)。 该 类 型 既 能 被 MN 用 
来 刺激 路 由 器 发 送 代理 路 由 公告 ， 也 能 为 代理 路 由 器 为 快速 移动 切换 提供 这 种 


公告 。 


6.8.2 移动 IJPv6 漏洞 


移动 IPv6 已 设计 了 如 同 非 移动 连接 的 安全 防护 。 然 而 ， 仍 然 存在 能 被 攻击 
者 利用 的 漏洞 。 首 先 ， 如 果 你 的 网 络 不 支持 移动 IPv6 服务 ,那么 应 该 明确 禁止 
以 下 的 相关 ICMPv6 消息 : 

e 过 滤 带 有 IPv6 路 由 报头 、IPv6 移动 报头 或 是 具有 归属 地 址 选项 的 目的 选 
项 报头 〈 所 有 类 型 ， 包 括 类 型 2) 的 数据 报 。 

o 过 滤 类 型 值 为 144 ~ 147 和 154 的 ICMPv6 数据 报 。 

如 果 需 要 支持 移动 IPv6 ， 则 要 考虑 以 下 漏洞 ; 

。 通过 模拟 归属 代理 或 通信 节点 来 拦截 和 重 定向 通信 的 中 间 人 攻击 。 

。 直接 攻击 移动 设备 操作 系统 、 软 件 和 信息 。 

。 防止 拦截 的 通信 安全 。 

。 拒绝 服务 攻击 。 

© 被 访问 网 络 (移动 时 ) 的 安全 策略 。 
6. 8.2.1 恶意 本 地 代理 攻击 

建立 一 个 恶意 HA 使 得 攻击 者 能 拦截 发 往 本 地 网 络 的 MN 绑 定 信息 ， 以 及 丢 
F HoTI 数据 报 来 扰乱 返回 路 由 可 达 过 程 ， 从 而 迫使 数据 报 通过 HA 路 由 。 为 建 
立 恶意 的 HA， 攻 击 者 必须 要 有 一 个 本 地 网 络 的 IPv6 地 址 ， 这 就 需要 先 突破 内 部 
网 络 。 
6.8.2.2 ”中间人 攻击 

恶意 HA 是 中 间 人 攻击 的 一 种 形式 。 一 个 或 多 个 恶意 MN 可 能 会 被 利用 来 进 
行 拒绝 服务 或 至 少 通过 多 个 假冒 MN 发 起 DDOS 攻击 来 影响 HA 的 性 能 。MN 向 
HA 注册 需要 IPSec 连接 ， 这 对 于 攻击 者 来 说 可 能 有 点 困难 。 假 冒 CN 有 相似 场 
景 ，MN 可 被 引诱 到 一 个 虚假 网 站 实施 钓鱼 来 诱骗 个 人 信息 ， 尽 管 这 与 非 移动 
IPv6 连接 没有 什么 不 同 。 
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6.8.2.3 移动 节点 攻击 

如 同 固定 网 络 上 的 终端 用 户 设 备 一 样 ，MN 设备 的 操作 系统 、 应 用 及 储存 在 
MN 上 的 敏感 数据 极 易 被 攻击 。 由 于 MN“ 所 有 者 ”不 能 控制 被 访问 网 络 的 任何 
过 滤 策 略 ， 漏 洞 变 得 更 加 严重 了 。 移 动 设备 上 应 该 提供 某 种 形式 的 设备 用 作 防 
火 墙 来 降低 设备 受到 攻击 的 风险 。 
6.8.2.4 通信 保密 

大 概 绝 大 部 分 移动 IPv6 通信 都 至 少 涉 及 一 种 无 线 通 信 ， 因 此 遭 窃 听 的 概率 
大 于 固定 网 络 通信 。 如 果 无 线 通 信 没 有 加 密 ，MN- HA 通信 的 认证 (可 选择 使 用 
ESP 功能 ) 能 够 提供 数据 加 密 服务 来 减 小 漏洞 。 
6.8.2.5 拒绝 服务 

如 同 其 他 设备 ， 移 动 设 备 也 可 能 成 为 DOS 攻击 的 目标 , 或 者 它们 会 寻求 安 
装 僵尸 软件 来 同时 利用 多 个 节点 进行 DDOS 攻击 。 这 些 攻击 的 特点 是 向 一 个 特 
定 的 了 PP 地 址 发 送 大 量 的 数据 报 ， 而 移动 节点 有 可 能 成 为 受害 者 。 相 对 的 ， 反射 
器 或 smurf 攻击 利用 目标 的 IP 地址 作为 虚假 源 地 址 ， 发 送 如 FTP 甚至 DNS 查询 
请 求 大 量 数据 传输 。 速 率 受 限 的 非 移 动 设备 或 网 络 服务 基础 设施 有 助 于 转移 此 
类 攻击 ， 虽然 这 一 处 理 过 程 对 预期 的 网 络 流量 有 性 能 的 影响 。 
6.8.2.6 被 访问 网 络 的 安全 性 

当 一 个 MN 在 漫游 时 ， 它 必须 从 外 部 被 访问 网 络 获取 一 个 IPv6 地 址 。 如 果 
移动 IPv6 兼容 的 话 ，MN 向 HA 和 CN 注册 这 个 转交 地 址 。 本 地 网 络 管理 者 管理 
MN, HA 和 本 地 网 络 ， 但 是 被 访问 网 络 通常 是 由 其 他 实体 (如 CN) 来 控制 。 攻 
击 者 可 能 企图 假冒 任何 一 个 实体 ， 来 破坏 或 转移 通信 就 像 中 间 人 攻击 一 样 。 坚 
持 使 用 IPSec 有 助 于 保护 移动 Pv6 控制 消息 。 虚 拟 专用 网 络 (Virtual Private 
Network, VPN) 也 可 以 用 来 保护 被 访问 网 络 上 的 流量 。 

关闭 移动 IPv6 控制 消息 类 型 的 最 低 端 的 办 法 是 你 的 网 络 不 支持 移动 IPv6。 
但 是 如 果 支 持 的 话 ， 使 用 适当 的 过 滤器 并 使 用 IPSec， 是 保护 移动 IPv6 通信 的 关 
键 技术 。 所 以 要 检查 你 选择 的 HA 和 MN 产品 对 IPSec 支持 的 程度 。 


6.9 IPv4/IPv6 共存 措施 


正如 本 书 第 3 章 讨 论 的 ， 有 一 些 选 项 是 用 来 在 IPv4 网 络 中 部 署 IPv6 的 ， 尽 
管 它们 属于 三 大 策略 : 双 协 议 栈 、 隧 道 或 转换 。 双 协议 栈 至 今 还 没有 提出 超出 
本 书 讨论 范围 的 新 要 求 ; 必须 定义 、 文 档 化 、 实 施 和 管理 针对 IPv4 和 IPv6 通信 
安全 策略 。 另 外 一 个 附加 的 管理 要 求 是 利用 所 有 的 地 址 一 一 IPv4 和 IPv6， 来 追 
踪 设 备 。 对 于 可 追溯 、 审 计 、 网 络 访问 追踪 、 取 证 分 析 和 故障 排除 任务 来 说 ， 


这 是 必需 的 。 
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6.9.1 安全 隧道 实施 


在 IPv4 中 ， 隧 道 可 当 作 攻击 载体 ， 将 恶意 的 数据 报 封装 在 无 害 的 隧道 报头 
内 。 只 分 析 外 部 报头 的 过 滤器 极 易 受到 这 类 攻击 的 影响 。 由 于 除了 IP 地 址 格式 
匹配 外 ,没有 任何 预先 的 隧道 配置 ， 只 要 基本 数据 报 参数 是 符合 格式 的 ， 那 么 
隧道 数据 报 通常 都 会 被 接收 并 处 理 ， 自 动 隧道 技术 也 极 易 受到 攻击 。 大 部 分 配 
置 或 手动 的 隧道 都 能 够 通过 检查 协议 字段 是 否 是 “41” 来 过 滤 此 类 IPv4 数据 
报 ， 协 议 字段 为 41 则 表示 封装 了 一 个 完整 的 IPv6 数据 报 。 
6.9.1.1 6to4 

6to4 在 IPv4 上 为 IPv6 提供 了 以 使 用 2000: : /16 地 址 空间 为 特点 的 自动 隧道 。 
如 果 要 拒绝 6to4 的 流量 ， 可 以 丢弃 IPv6 源 地 址 或 目的 地 址 为 2002: : /16 的 数据 
报 。6to4 路 由 器 能 够 将 6to4 IPv4 数据 报 路 由 到 6to4 中 继 路 由 器 ， 该 路 由 器 用 作 
6to4 IPv4 域 与 纯 IPv6 间 的 网 关 。RFC 3964 ( 即 本 书 参考 文献 [97]) 详细 说 明 
了 6to4 的 安全 考量 ， 并 为 6to4 路 由 器 推荐 了 以 下 过 滤 策 略 : 

。 表 6-1 也 给 出 了 应 该 被 过 滤 的 私有 或 不 合法 的 IPv4 地 址 空间 对 应 的 6to4 
地 址 。 

。 过 滤 带 有 外 部 源 IPv4 地 址 的 数据 报 ， 该 源 IPv4 Heh If AR Be ix A BI) IPv6 
源 地 址 〈 即 6to4 的 网 络 前 缀 中) 的 IPv4 地 址 。 

e 过 滤 目 的 IPv6 地 址 是 本 地 链 路 地 址 或 是 IPv4- 映射 地 址 的 数据 报 。 

© 配置 中 继 路 由 器 公告 只 在 来 自 / 发 往 IPv6 域 的 中 继 数 据 报 中 使 用 2002: : / 
16， 而 不 用 在 6to4 节点 间 的 路 由 (6to4 中 继 路 由 器 应 该 总 是 6to4 隧道 的 终点 ) 。 
当 这 样 配置 后 ， 过 滤 从 中 继 路 由 器 收 到 的 源 地 址 不 同 于 中 继 路 由 器 的 6to4 地 址 
(映射 到 外 部 IPv4 源 地 址 ) 的 数据 报 。 

© 过 滤 6to4 目的 地 址 不 属于 你 公告 的 6to4 前 级 的 数据 报 。 

e 对 于 中 继 路 由 器 ， 丢 弃 目 的 地 址 不 是 其 中 继 路 由 本 身 的 6to4 数据 报 。 
6.9.1.2 站 内 自动 隧道 寻 址 协议 

ISATAP 规范 明确 指出 了 使 用 IPv6 IPSec 是 有 必要 的 。 它 还 推荐 一 般 的 
IPv4 入 口 过 滤 ， 特 别 是 IPv4 报头 字段 为 “41” 的 数据 报 一 一 表明 封装 了 IPv6 
数据 报 ， 来 减少 在 一 个 ISATAP 链 路 中 数据 报 注 入 的 漏洞 。ISATAP 路 由 器 上 
的 过 滤 配 置 也 应 该 阻塞 ISATAP 路 由 器 间 的 纯 IPv6 数据 报 来 防止 数据 报 被 往返 
传递 (ping-pong) ， 并 阻塞 IPv4 源 地 址 不 在 本 组 织 合法 ISATAP 用 户 范 围 内 的 
数据 报 。 

攻击 者 控制 ISATAP 客户 端 用 来 传输 IPv6 数据 报 的 首选 路 由 列表 (Preferred 
Router List, PRL) 能 将 ISATAP 流量 重 定向 到 攻击 者 的 路 由 器 上 。PRL 应 该 保持 
更 新 ， 而 相关 主机 名 为 “isatap” 的 DNS 条 目 也 应 该 经 常 检 查 。 
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6.9.1.3 Teredo 

Terodo 被 设计 用 来 在 你 的 防火 墙 上 开 个 洞 ， 使 得 IPv6 数据 报 隧道 能 通过 防 
ASH, RFC 4380, Bl Teredo 的 规范 ， 指 出 了 一 些 安全 漏洞 和 建议 缓解 方案 ， 见 
表 0-2。 


表 6-2 Teredo 漏洞 和 缓解 方案 
漏 洞 缓解 方案 


限制 一 些 本 地 链 路 服务 
防火 墙 漏洞 实施 本 地 (主机) 防火墙 
使 用 Teredo 隧道 内 支持 的 IPSec 


在 Teredo 服务 器 和 客户 端 间 进 行 随机 数 认 证 。 攻 击 者 
必须 在 “路 径 ” 上 ， 因 此 除了 拒绝 客户 端 服务 ， 攻 击 将 
很 难 进 行 


作为 中 间 人 拦截 和 欺骗 路 由 公告 的 Teredo 
服务 器 


使 用 Teredo 直接 IPv6 连接 测试 流程 ， 该 流程 由 随机 数 
认证 保护 
端 到 端的 保密 性 使 用 IPSec 来 阻止 欺骗 和 窃听 


Teredo 中 继 欺 骗 


使 用 本 地 主机 Teredo 中 继 ， 要 求 身份 认证 、 停 用 本 地 
拒绝 Teredo 服务 发 现 ， 以 及 部 署 不 同 的 Teredo 服务 器 ， 这样 有 助 于 减少 
各 类 拒绝 服务 类 攻击 


使 用 Teredo 服务 器 拒绝 目标 主机 服务 的 通过 观察 已 知 流量 的 规律 和 语义 ， 可 以 将 反射 流量 识 
反射 器 攻击 别 出 来 


6.9.2 安全 转换 实施 


转换 网 关 处 理 所 有 需要 转换 的 数据 报 ， 这 可 能 是 根据 你 的 部 署 计划 所 产生 
的 所 有 面向 因特网 的 流量 。DO0OS 攻击 的 防护 和 非 期 望 IP 源 地 址 和 目的 地 址 的 过 
滤 ， 都 应 该 实施 。 鉴 于 攻击 者 有 能 力 修改 IPv6 前 绥 来 破坏 通信 ， 用 来 转换 的 
IPv6 前 级 的 配置 必须 要 足够 安全 。 此 外 ，RFC 6052 推荐 支持 对 IPv6 可 转换 地 址 
中 能 入 的 IPv4 地 址 的 过 滤 ' 引 ， 就 像 对 原生 IPv4 地 址 的 过 滤 一 样 。 

值得 注意 的 是 ， 尽 管 ESP 隧道 模式 的 数据 报 能 够 被 转换 ， 但 IPSec 里 份 认证 
报头 不 能 使 用 IPv4/1Pv6 SHN FRH, RA checksum- neutral 地 址 被 使 用 时 ，ESP 
传输 模式 才能 成 功 在 IPv4/IPv6 跨 协 议 转 换 中 使 用 "1。 


6.10 ”小结 


在 基础 设施 、 卫 地 址 和 网 络 管理 中 ， 定 义 一 种 安全 策略 来 文 持 IPv6 实施 是 
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一 个 重要 的 规划 步 又。 应 该 根据 本 章 讨 论 的 计划 支持 的 IPv6 功能 ， 更 新 当前 的 
IP 安全 策略 。 这 些 更 新 策略 则 需要 与 当前 安全 基础 设施 和 系统 一 一 对 应 。 需 要 
确定 差距 ， 然 后 通过 更 新 、 购 买 或 替换 软 硬 件 ， 或 是 通过 确认 不 足 和 记录 暂时 
解决 方法 ， 来 减少 风险 。 

图 6-4 所 示 的 IPv6 部 署 的 安全 计划 ， 说 明了 本 章 提 出 的 发 现 和 所 需 的 IPv6 
安全 策略 比较 的 过 程 。 任 何 缓解 步骤 必须 被 记录 ， 并 将 财力 和 人 力 上 的 洪 在 预 
算 编 入 ， 最 后 反馈 到 总 体 部 署 项 目 计 划 中 。 


IPv6 安 全 计 
划 过 程 开 始 


详细 列举 
补救 列表 


基准 项 目 
和 JP 计划 
和 预算 

IPVv6 部 署 
项 目 计划 


图 6-4 IPv6 部 署 的 安全 计划 


7a IPv6 网 络 的 管理 计划 


从 技术 上 来 说 ， 本 章 应 该 叫做 IPv4/IPv6 的 管理 计划 ， 因 为 你 很 有 可 能 在 保 
FF IPv4 网 络 的 基础 上 部 署 IPv6 网 络 。 正 如 已 经 知道 的 ， 引 入 一 个 新 的 网 络 层 协 
议 IPv6 到 原 有 网 络 中 需要 考虑 非常 多 东西 ， 包 括 新 协议 的 地 址 分 配 、 新 协议 对 
于 每 一 个 设备 的 可 达 性 、 新 协议 的 应 用 支持 和 新 协议 的 安全 问题 。 管 理 IPv6 部 
分 的 网 络 是 部 署 IPv6 计划 中 一 个 与 其 他 部 分 同等 重要 的 组 成 部 分 。 不 管 怎么 样 ， 
如 果 IPv6 的 某 个 部 分 可 以 被 部 署 ， 但 是 不 能 被 合理 地 配置 或 监控 ， 那 么 很 少 组 
织 会 实施 这 种 部 署 。 这 也 是 必然 的 结果 ， 因 为 网 络 管理 是 保证 网 络 运 作 的 一 个 
非常 重要 的 功能 。 除 了 少量 本 地 设备 组 成 的 网 络 能 在 每 一 个 接口 上 通过 蛮 力 方 
式 配置 之 外 ， 网 络 管理 通过 给 分 布 式 网 络 提 供 一 个 集中 视角 产生 了 很 大 的 价值 。 
因此 ， 通 过 对 检测 到 的 网 络 事件 进行 关联 和 安全 优先 排序 ， 理 顺 了 资源 需求 和 
提高 了 效率 。 


7.1 管理 模型 


最 经 常 使 用 的 网 络 管理 框架 是 用 于 网 络 管理 的 FCAPSS 模 型 。IT 基础 架构 
JE (Information Technology Infrastructure Library, ITIL) 是 一 套 流行 的 管理 企业 IT 
基础 设施 的 指南 。 由 英国 的 政府 商务 办 公 室 (Office of Government and Commerce, 
OGC) 开发 的 人 TI， 是 把 全 组 织 看 成 企业 的 服务 提供 商 的 一 个 最 佳 实践 框架 。 同 
时 ， 它 整合 了 一 些 和 FCAPS 相似 的 功能 ， 虽 然 它 的 多 数 功 能 是 面向 服务 的 。 

FCAPS 模型 在 网 络 管理 的 实践 中 包括 如 下 几 个 主要 功能 : 

o 下 ， 指 故障 管理 (Fault Management) ， 包 括 监 视 和 检测 网 络 故 障 ， 并 能 诊 
断 、 隔 离 和 解决 这 些 故障 。 具 体 来 讲 ， 需 要 对 一 些 像 路 由 器 、 服 务 器 和 交换 机 
等 网 络 单元 进行 监视 并 发 现 故 障 或 运行 中 断 ， 以 及 像 DHCPv6 和 DNS 这 样 的 网 
络 服务 同样 能 够 被 监视 。 

o C， 指 配置 管理 (Configuration Management) ， 包 括 对 路 由 器 和 交换 机 这 样 
的 网 络 单元 进行 精确 配置 和 备份 ， 以 及 网 络 服务 。 其 中 至 少 包括 网 络 层 的 应 用 
和 数据 库 服务 器 的 配置 和 备份 。 对 网 络 单元 精确 和 及 时 的 配置 能 减少 错误 产生 ， 


© FCAPS 是 由 ITU 标准 M. 3400 定义 的 ， 是 数据 网 络 管理 中 的 通信 管理 网 络 (Telecommunications 
Management Network, TMN) 框架 的 一 部 分 。 
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也 能 减少 在 转换 管理 窗口 时 的 延 时 。 

eA, 指 计 费 管理 ( Accounting Management) , 包括 基于 业务 限定 或 客户 授权 
范围 内 追踪 和 监控 网 络 资源 的 使 用 情况 。 访 问 控制 策略 (access control policies) , 
涉及 业务 参数 的 网 络 使 用 ， 以 及 对 服务 水 平 协议 (Service Level Agreement, 
SLA) 监控 都 在 计 费 管理 范围 内 。 

o P, JERE IE (Performance Management) ， 处 理 追 踪 网 络 单元 和 网 络 服 
务 的 性 能 和 资源 利用 的 问题 。 具 体 来 说 ,追踪 网 络 资源 使 用 情况 、 网 络 / 服 务 器 
的 性 能 和 数据 流 都 在 性 能 管理 的 范畴 之 内 。 

eS, 指 安 全 管理 (Security Management ) ， 包括 保护 网 络 和 网 络 用 户 的 信息 
安全 ， 提 供 访问 控制 、 审 计 日 志和 安全 违规 检查 。 之 前 的 章节 已 经 对 安全 这 一 
块 进行 了 清晰 的 阐述 ， 所 以 本 章 将 不 再 讨论 这 个 话题 。 

将 会 以 FCAPS 为 背景 来 讨论 IPv6 网 络 管理 ， 以 适当 的 篇 幅 讨论 包括 像 资产 
追踪 (inventory tracking) 、 地 址 管理 、 配 置信 息 数据 库 和 发 行 与 修改 管理 在 内 的 

JA 


能 。 实 际 上 ， 下 面 会 从 “配置 ”功能 ， 特 别 是 资产 和 地 址 管理 开始 讨论 ， 
这 些 功 能 对 于 定义 FCAPS 中 其 他 功能 的 范围 至 关 重 要 。 举 例 来 说 ， 你 的 路 由 
资产 是 包含 在 进行 故障 或 性 能 监控 的 一 组 设备 中 的 。 


o 
3 


W l m 


oy 


了 


7.2 网 络 管理 的 范围 


在 IPv6 部 署 计 划 所 涉及 的 全 部 范围 内 ， 你 进行 IPv6 部 署 的 网 络 部 分 由 对 
IPv4 及 IPv6 信息 可 以 管理 和 追踪 的 部 分 组 成 。 一 定 要 从 网 络 管理 角度 来 考量 在 
部 署 范 围 内 的 每 一 个 基础 设施 或 用 户 终 端 、 应 用 程序 和 交换 网 络 组 件 。 这 些 都 
必须 要 从 评估 你 的 目标 范围 的 当前 组 成 部 分 开始 。 


7.2.1 网 络 库存 


网 络 库存 (network inventory) 是 指 在 你 的 网 络 范 围 内 或 目标 范围 内 所 有 的 
路 由 器 、 交 换 机 、 存 储 点 、 通 信服 务 器 、 打 印 机 和 用 户 终 端 设备 的 资产 。 这 个 
库存 是 IPv6 部 署 计 划 中 的 重要 组 成 部 分 ， 可 以 用 于 确认 设备 、 操 作 系统 和 应 用 
究竟 是 本 吴 就 文 持 IPv6 还 是 需要 修改 或 升级 以 支持 IPv6 (正如 本 书 第 4 草 所 讨 
论 的 ) 。 对 每 一 个 网 络 单元 的 设备 ， 需 要 记录 以 下 信息 : 供应 商 、 制 作 模型 
(make model) 、 操 作 系 统 和 版 本 、 功 能 或 应 用 、 设 备 的 硬件 模块 和 网 络 接口 。 
设备 标识 信息 也 需要 被 记录 ， 这 些 信 息 包括 : 主机 名 、DHCP 唯一 标识 符 
(DHCP Unique Identifier，DUID)、 每 个 接口 的 MAC 地址、 每 个 接口 的 接口 关联 
标识 符 (Interface Association Identifier，IAID) ， 每 个 接口 的 IPv4 和 IPv6 地 址 。 
设备 访问 信息 应 该 要 安全 地 维护 好 ,包括 像 SSH 登录 名 和 密码 ， 以 及 SNMP 团 
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体 名 和 密码 等 信息 。 
7.2.2 IP 地址 库存 


IPAM 和 库存 管理 功能 在 把 IPv4 和 IPv6 地 址 分 配给 网 络 中 的 合法 设备 时 存 
在 交织 。 此 外 IPAM 也 可 以 帮助 发 现 网 络 中 使 用 IP 网 络 的 设备 ， 并 且 可 以 帮助 
识别 网 络 中 的 新 设备 和 移动 过 的 设备 。 同 时 IPAM 通常 情况 下 比 库存 管理 的 范围 
来 得 广 ， 因 为 它 的 功能 还 包括 分 别 使 用 相应 的 主机 域名 和 卫 地 址 池 来 配置 DNS 
All DHCP 服务 器 。 

实际 上 ， 在 根据 拓扑 结构 为 分 配 地 址 而 映射 层次 化 地 址 块 的 时 候 ，IPAM 功 
能 和 网 络 拓扑 结构 相 吻 合 。 正 如 在 本 书 第 5 章 地 址 规划 中 讨论 到 的 IPv6 需要 分 
层 地 址 分 配 。 运 用 有 约束 的 IPAM， 使 得 单个 地 址 分 配 、 路 由 通告 和 DHCP 地 址 
池 可 以 遵守 分 层 地 址 计划 ， 在 保持 网 络 地 址 一 致 的 同时 简化 了 地 址 分 配 过 程 。 
总 之 ， 资 产 管理 功能 提供 了 一 个 含有 相关 属性 的 网 络 设备 统一 库存 ， 这 些 属性 
包括 与 IPAM 功能 关联 的 IP 地 址 ，IPAM 功能 是 把 IP 地 址 分 配给 子 网 和 动态 地 
址 分 配 的 DHCP 服务 器 ， 并 附带 相关 的 DNS 域名 信息 。 
通常 情况 下 ， 设 备 资产 在 IPv6 部 署 之 前 和 之 后 应 该 基本 相同 。 即 ，IPvw6 的 
配置 不 需要 新 的 硬件 ， 虽 然 有 的 时 候 可 能 会 需要 对 一 些 传统 设备 进行 更 换 。 另 
外 ， 有 的 人 也 许 会 在 初期 通过 增加 部 署 额 外 的 一 些 硬件 设备 来 暂时 隔离 IPv6 服 
务 器 ， 不 过 这 个 只 是 一 个 可 选项 。 因 此 ， 一 个 在 IPv6 部 署 以 前 已 经 维护 准确 的 
设备 和 IP 库存 仓库 (如 作为 评估 阶段 的 结果 ) 的 组 织 ， 应 该 已 经 准备 好 进行 
IPv6 的 部 署 了 ， 而 且 它 们 应 该 能 够 对 每 个 IP 寻 址 计划 进行 IPv6 子 网 和 地 址 分 配 
来 补充 资产 和 IPAM 仓库 。 


7.2.3 管理 网 络 


因为 一 些 或 者 全 部 路 由 被 配置 到 IPv6 网 上 并 不 意味 着 管理 信息 一 定 要 通过 
IPv6 来 传输 。 例 如 ， 轮 询 IPv6 相关 的 管理 信息 库 (Management Information Base， 
MIB) 可 以 用 IPv4 来 完成 ， 正 如 可 以 用 IPv6 来 轮 询 IPv4 相关 的 数据 。 如 今 在 IP 
网 络 主要 的 管理 应 用 协议 ， 如 SSH, Telnet, TFTP, syslog, ping, traceroute 和 
SNMP， 都 支持 IPv6。 虽 然 轮 询 信息 和 检测 警告 可 以 使 用 任何 协议 ， 但 是 连通 性 
和 可 达 性 的 测试 ， 像 ping, 、traceroute， 或 者 网 络 测试 工具 ， 像 dig (DNSlookup 
工具 ) ， 应 该 要 在 对 应 的 传输 协议 上 运行 才能 模仿 客户 体验 。 


7.3 简单 网 络 管理 协议 


SNMP 是 卫 设 备 实际 上 的 网 络 管理 协议 ， 这 些 IP 设备 至 少 包 括 像 路 由 器 、 
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服务 器 、 打 印 机 等 基础 设施 设备 。SNMP 定义 了 对 被 管理 设备 的 配置 和 信息 检索 
的 通信 协议 。 它 的 基本 结构 包括 一 个 网 络 管理 者 (network manager) 。 这 个 网 络 
管理 者 使 用 基于 IP 的 SNMP， 通 过 各 个 被 管理 设备 上 运行 的 代理 来 与 一 个 或 多 
个 被 管理 设备 通信 。 这 个 代理 可 以 从 被 管理 设备 上 访问 相关 的 数据 ， 并 通过 
SNMP 与 网 络 管理 者 交互 。 被 管理 设备 上 这 些 可 以 进行 配置 和 /或 被 收集 的 信息 ， 
是 通过 设备 所 支持 的 各 MIB 中 的 数字 和 类 型 所 定义 。 

SNMP 为 被 管理 信息 (managed information) 定义 了 一 个 整体 的 信息 层次 ， 
而 各 MIB 定义 了 信息 对 象 的 结构 ， 或 一 组 给 定 度量 的 变量 。MIB-II 是 目前 正在 
使 用 的 MIB 版 本 。 你 可 以 认为 MIB 是 一 个 数据 库 的 表 ， 而 表 的 每 一 行 是 一 个 对 
象 标识 (Object Identiftier，OID) ， 每 一 个 OID 是 由 自己 在 标准 SNMP 对 象 分 层 中 
的 位 置 唯一 数字 标识 的 。 这 让 任何 厂商 管理 系统 能 通过 一 个 标准 的 OID 值 来 访 
问 已 知 变量 。 

SNMP 标准 最 初 被 开发 出 来 的 时 间 比 IPv6 作为 一 个 网 络 协议 标准 被 开发 出 
来 的 时 间 要 早 。 因 此 MIB 定义 的 IP/ICMP, TCP, UDP 只 对 IPv4 的 地 址 格式 和 
信息 有 效 。 在 IPv6 标准 被 提出 以 后 ， 新 的 MIB 就 对 IPv6 、ICMPv6 TCP 和 UDP 
进行 了 定义 。 此 后 ， 标 准 就 演化 成 能 够 在 传输 过 程 中 支持 IPv4 和 IPv6， 并 且 ， 
MIB 的 数据 结构 也 变 得 能 够 支持 IPv4 和 IPv6， 而 这 一 切 都 是 从 支持 IP 地 址 数据 
结构 开始 的 。 在 旧 的 MIB-I 版 本 中 ,一 个 耳 地 址 文本 习惯 上 是 约定 为 4 个 八 位 
字 节 串 ， 这 也 是 所 有 和 IP 地 址 有 关 的 对 象 变量 的 标准 习惯 。RFC 4001 ( 即 本 书 
参考 文献 [98]) 定义 了 互联 网 地 址 类 型 (InetAddressType) 和 互联 网 地 址 
(InetAddress) 对 ， 分 别 标识 IPv4 或 IPv6 的 协议 类 型 和 对 应 的 地 址 。 这 样 ， 对 象 
属性 中 表达 的 IP 地 址 就 可 以 通过 类 型 和 实际 地 址 确定 了 。 

除了 统一 的 卫 地 址 文本 习惯 ，SNMP FLEX IP, TCP, UDP 和 IP- FORWARD 
(路 由 信息 ) 支持 通用 的 各 MIB ， 而 非 单独 的 IPv4 和 IPv6 版 本 。 虽 然 有 一 些 设 
备 可 能 会 含有 特定 供应 商 自己 定义 的 和 特定 应 用 定义 的 MIB 信息 ， 但 这 整体 上 
对 节省 配置 SNMP 管理 器 和 “IP 地 址 ”管理 的 时 间 十 分 有 益 。 


7.3.1 配置 管理 


网 络 资产 和 IP 地 址 计划 决定 了 管理 的 范围 。 正 如 前 面 章 节 关 于 安全 的 叙述 ， 
周期 性 地 扫描 网 络 来 发 现 新 的 或 移 走 的 IP 地 址 或 设备 是 一 个 好 主意 。 对 于 每 一 
个 被 管理 设备 ， 配 置 可 以 是 通过 使 用 很 多 不 同 的 配置 管理 工具 来 管理 的 。 这 些 
工具 必须 支持 你 所 选 的 传输 协议 一 一 IPv4 , IPv6, 或 者 同时 支持 两 者 ， 而 且 必 须 
能 配置 IPv6 参数 。 

如 果 你 计划 使 用 IPv6 作为 传输 协议 ， 定义 好 IPv6 地 址 分 配 机 制 是 很 有 必要 
的 ! 你 可 以 使 用 SLAAC 和 DHCPv6 中 的 一 个 或 两 个 ;也 可 以 考虑 使 用 隐私 选项 ， 
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虽然 这 并 不 能 用 在 那些 需要 使 用 可 靠 或 固定 地 址 的 基础 设施 上 。 使 用 IPAM 系 
统 ， 不 但 可 以 减少 在 同时 进行 IPv4 和 IPv6 地 址 空间 管理 时 出 现 错误 ， 也 可 以 在 
大 多 数 情况 下 自动 为 DHCP 服务 器 和 DNS 提供 相应 的 地 址 、 域 名 和 资源 记录 信 
息 。 不 论 如 何 ， 每 一 个 网 络 资源 仓库 的 入 口 都 应 该 连接 到 它 已 分 配 的 地 址 和 分 
配方 法 ， 以 及 其 他 相关 需要 的 配置 和 初始 化 参数 上 。 

配置 或 者 查看 分 配给 网 络 设 备 上 的 IPv6 地 址 要 求 管理 系统 支持 IPv6 地 址 的 
解析 和 显示 功能 。 这 和 别 的 使 用 IPv6 进行 通信 和 显示 的 应 用 一 样 。 所 以 ， 当 评 
估 你 当前 的 网 络 管理 工具 能 力 的 时 候 ， 这 是 一 个 非常 重要 的 标准 。 


7.3.2 故障 管理 


故障 管理 必须 监控 网 络 连 接 和 设备 、 告 警 ， 和 排除 故障 解决 问题 ， 以 使 网 
络 顺畅 运行 。SNMP MIB 轮 询 (polling) 或 者 SNMP 陷阱 (trap) 通常 被 用 来 监 
探 设备 状态 ， 侦 测 告警 状态 。 这 些 被 监控 和 捕捉 的 各 MIB 和 陷阱 应 该 被 文档 化 ， 
而 且 应 该 为 每 个 被 监控 设备 所 支持 。 正 在 使 用 的 或 计划 使 用 的 网 络 管理 系统 ， 
也 必须 实现 对 这 些 MIB 和 陷阱 的 可 视 化 和 陷阱 处 理 过 程 进行 文 持 。 

其 他 供应 商定 制 的 管理 通告 格式 应 该 要 支持 IPv4 、IPv6， 或 者 同时 支 持 两 
者 。 一 旦 一 个 监控 参数 的 变化 超过 了 它 的 “正常 ”范围 ， 必 须 采取 主动 行动 来 
识别 这 种 变化 的 原因 ， 并 采取 任何 正确 而 必要 的 行动 来 避免 更 大 的 网 络 问题 。 
当然 所谓“ 正常 ”是 通过 对 给 定 变量 长 时 间 的 观察 并 计算 出 它 的 平均 值 和 可 
以 接受 的 方差 来 决定 的 。 根 据 被 监控 的 变量 及 其 在 整个 网 络 中 的 影响 ， 度 量 阔 
值 可 以 是 严格 或 渐变 地 提供 信息 (info) 、 警 告 ( warning ) 和 严重 (critical) 等 
不 同等 级 的 通告 的 。 

在 刚 开 始 部 署 的 时 候 ， 特 别 是 从 安全 监控 的 角度 来 说 ， 为 了 “ 超 管 理 ” 早 
期 的 IPv47IPv6 运营 ， 浆 值 可 能 会 被 严格 设置 在 期 望 的 平均 值 附近 。 如 本 书 第 6 
章 所 说 ， 防 火 墙 必须 有 详细 的 日 志 记 录 和 分 析 ， 以 识别 所 有 破坏 策略 的 行为 。 
在 安全 和 通信 两 方面 ， 在 基本 顺畅 运行 数 月 之 后 ， 可 以 放宽 阔 值 ， 但 仍然 需要 
临时 的 “抽查 ”来 复 检 。 

监控 网 络 占用 情况 ， 或 者 监控 有 哪些 拥有 自己 特定 IP 地 址 的 设备 在 网 络 上 ， 
对 验证 地 址 计划 和 地 址 分 配 的 合理 性 ， 以 及 发 现 潜在 可 疑 设备 或 欺骗 设备 ， 是 
非常 重要 的 。 周 期 性 地 轮 询 (polling) 路 由 器 的 ARP RRE IPv6 邻 节 点 表 ， 为 
检测 上 述 信息 和 状态 提供 了 方便 。 

故障 排除 过 程 的 文档 应 该 明确 ， 当 超过 国 值 或 IPv6 相关 或 IPv6 寻 址 设备 相 
关 的 告警 被 检测 到 时 的 相关 处 理 步骤 。 双 协议 栈 设备 在 一 个 协议 上 不 可 达 ， 可 
能 在 另外 一 个 协议 上 是 可 达 的 ， 这 为 检测 地 址 分 配 、 路 由 或 设备 IP 的 协议 栈 等 
问题 提供 一 个 十 分 有 效 的 方法 。 
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7.3.3 计 费 管理 


计 费 管理 包括 对 网 络 资产 的 追踪 。 计 费 管理 中 很 大 的 一 部 分 任务 是 处 理 对 
设备 、 卫 地 址 分 配 、 用 户 和 应 用 的 追踪 。 由 于 IPv6 子 网 中 的 地 址 空间 很 大 ， 把 
地 址 追踪 技术 转换 到 IPv6 上 是 很 有 挑战 性 的 。 轮 询 路 由 器 SNMP 的 “ipNetTo- 
Physical” 表 为 从 一 个 中 心地 点 追踪 各 个 IPv6 地 址 分 配 提 供 了 一 个 好 方案 。 像 
nmap 这 样 的 网 络 探测 工具 也 可 以 通过 实施 多 播 ping 来 引发 响应 ， 或 其 他 方式 进 
行 被 动 发 现 。 不 管 收集 机 制 是 什么 ， 把 收集 结果 报告 给 中 心 IPAM 系统 可 以 帮助 
发 现 子 网 中 新 的 移 走 的 或 者 移动 的 设备 。 如 果 你 的 IPAM 系统 支持 这 些 方式 的 发 
现 功能 ， 你 已 经 可 以 追踪 IPv6 设备 了 。 否 则 ， 应 该 向 你 的 供应 商 询 问 最 新 的 路 
线 图 。 


7.3.4 性 能 管理 


很 多 性 能 管理 系统 使 用 SNMP 进行 数据 收集 、 数 据 聚 合 和 数据 报告 。 所 以 ， 
考虑 到 之 前 讨论 过 的 SNMP 能 够 同时 支持 IPw4 和 IPv6， 应 该 能 够 很 轻易 地 让 性 
能 管理 系统 支持 IPv6。 也 许 实施 这 个 系统 最 大 的 困难 在 于 用 户 接口 的 数据 表示 ， 
这 个 数据 表示 混合 了 IPv4 和 IPv6 流量 信息 。 网 络 探 针 这 时 候 也 可 以 用 来 “ 监 
WE” IPv6 流量 和 相关 的 TCP 流量 控制 和 ICMPv6 信息 ， 以 发 现 流量 模式 和 潜在 
问题 。 


7.4 方法 和 过 程 


多 数 的 组 织 会 为 预 配置 、 监 控 、 测 试 及 对 计算 或 网 络 设备 诊断 的 标准 化 方 
法 和 过 程 (Method and Procedure，M&P) ， 建 立 文 档 。 随 着 IPv6 的 部 署 ， 这 些 文 
档 需 要 更 新 。 虽 然 部 署 IPv6 就 意味 着 引入 另外 一 个 可 能 在 网 络 中 出 现 错误 的 东 
西 ， 但 是 它 也 为 指定 设备 的 异常 处 理 提供 了 另外 一 个 可 选 的 网 络 层 路 由 。 设 备 
在 一 个 协议 上 可 达 而 在 另外 一 个 协议 上 不 可 达 ， 可 能 说 明 是 路 由 或 者 是 设备 协 
议 栈 问题 。 在 更 新 MAP 文档 时 要 考虑 的 关键 点 中 ， 应 注意 以 下 几 点 : 

e 分 配 地 址 块 和 子 网 的 过 程 。 特 别 是 在 为 一 个 单一 IPv6 子 网 或 一 个 IPv4/ 
IPv6 双 栈 环境 ， 分 配 地 址 块 和 子 网 时 。 

o 如 果 使 用 的 是 SLAAC 或 DHCPv6 ， 准 备 和 配置 新 设备 的 过 程 可 能 是 不 费力 
的 。 不 过 对 于 那些 手动 设 定 地 址 的 设备 ， 准 备 过 程 需要 记录 IPv4 和 IPv6 地 址 的 
分 配 情况 以 及 相关 的 参数 。 

。 异常 检测 指南 应 该 包含 IPv6 相关 统计 信息 和 告警 ， 以 及 用 于 隔离 和 解决 
异常 的 所 需要 采取 的 行动 。 
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© 故障 排除 步骤 应 该 要 包括 同时 或 分 别 通过 IPv4 和 IPv6 与 一 个 指定 设备 通 
信 的 步骤 。 

e 计 费 功能 中 的 发 现 模块 应 该 要 包括 对 IPv6 邻 节 点 表 轮 询 ， 或 者 如 nmap 这 
样 的 发 现 工具 的 使 用 。 分 析 不 同 地 址 分 配方 式 时 必须 要 考虑 到 SLAAC 中 的 隐私 
扩展 和 DHCPv6 的 使 用 。 而 对 未 授权 设备 的 检查 功能 需要 通过 对 发 现 的 主机 信息 
与 授权 的 DHCP 唯一 A dl aaa Baca ide 

o 性 能 管理 过 程 必须 要 包括 IPv6 MIB 统计 数据 和 性 能 结果 报告 

。 安 全 系统 监控 过 程 必须 包括 本 书 第 6 意 所 述 的 IPv6 过 滤 指 南 ， 记 录 日 志 
检查 步骤 来 帮助 发 现 可 能 的 攻击 ， 并 验证 安全 策略 设置 。 

设备 部 署 的 测试 阶段 为 改善 M&P 文档 提供 了 一 个 好 机 会 


7.5 小 结 


sep pb ie ip ian te 样 ， 但 是 必须 考虑 两 种 
协议 的 所 有 网 络 管理 方面 ， 包 括 配置 管理 、 故 障 管理 、 计 费 管理 和 性 能 管理 。 
II 
输 。 确 定 自己 网 络 管理 设备 是 否 有 这 种 能 力 请 参考 本 书 第 4 章 所 描述 的 分 析 过 
程 。 根 据 所 需 的 升级 和 已 有 资源 ， 一 个 优先 修正 措施 列表 就 可 以 添加 到 整个 
IPv6 部 署 计 划 中 去 。IPv6 网 络 管理 计划 过 程 如 图 7-1 所 示 。 


网 络 管理 


开始 IPv6 
计划 过 程 


图 7-1 IPv6 网 络 管理 计划 过 程 


8.1 整体 计划 


在 之 前 章节 令 述 的 计划 工作 的 基础 上 ， 现 在 可 以 开始 准备 把 所 有 计划 整合 
起 来 了 。 这 其 中 包括 了 地 址 计划 、 基 础 设施 的 修改 或 增添 的 计划 ， 安 全 策略 升 
级 计划 和 网 络 管理 计划 。 这 个 整合 让 你 有 能 力 找 出 所 有 路 职能 的 依赖 关系 ， 并 
且 可 以 标 出 所 有 要 做 任务 的 时 间 表 和 资源 可 用 性 。 在 一 些 组 织 中 ， 防 火 墙 管理 
者 (firewall person) 和 网 络 管理 员 (network manager) 是 相同 的 ， 那 么 与 这 两 个 
角色 相关 的 功能 也 就 必须 考虑 到 这 个 因素 。 但 是 ， 在 大 公司 中 ， 可 能 会 由 不 同 
团队 来 负责 不 同 功 能 ， 所 以 很 可 能 很 多 工作 都 是 并 行 执行 的 ， 因 此 需要 各 个 团 
队 间 更 多 的 合作 来 管理 各 种 依赖 性 ， 并 处 理 各 种 意外 事故 。 

整合 所 有 组 成 计划 也 能 够 明确 部 署 测试 的 用 例 。 即 使 没有 明确 要 求 ， 也 建 
议 最 好 在 生产 部 署 之 前 进行 测试 。 测 试 计 划 应 该 根据 部 署 IPv6 带 来 的 基础 设 
施 、 地 址 计划 、 网 络 管理 和 安全 策略 的 必要 变化 ， 记 录 与 网 络 需求 变动 相关 
的 测试 的 验证 过 程 。 测 试 阶 段 可 以 了 解 计划 的 基础 设施 中 的 IPv6 行为 特征 ， 
并 帮助 提升 计划 的 安全 和 网 络 管理 。 测 试 中 使 用 的 要 素 将 包括 网 络 的 一 个 子 
集 ， 但 这 应 该 是 一 个 能 代表 你 部 署 计 划 范 围 的 合理 复 本 。 测 试 应 该 要 同时 包含 
两 个 协议 的 寻 址 (addressing) 、 路 由 (routing) 、 数 据 流 (data flow) 、 中 断 模 拟 
(outage simulations) 和 检测 ( detection) ， 包 含 模拟 的 安全 攻击 (simulated security 
attack) 、 故 障 排除 能 力 (troubleshooting capability) ， 还 应 包含 总 体 网 络 监 控 和 
报告 。 

图 8-1 给 出 了 整体 联合 计划 过 程 ， 包 括 IP 地 址 管理 计划 、 安 全 管理 计划 和 
网 络 管理 计划 等 网 络 的 主要 计划 功能 。 这 些 主要 功能 在 图 中 以 并 行 形 式 说 明 ， 
汇聚 输出 到 “确定 项 目 基线 和 IP 计划 与 预算 (baseline project and IP plan and 
budget) ”过 程 中 。 整 个 计划 的 定购 任务 、 识 别 依赖 关系 和 购物 清单 条 目 在 这 里 
汇聚 。 一 个 整体 的 预算 修改 也 会 基于 购物 清单 及 不 同 资源 的 需求 时 间 来 准备 。 
委任 一 个 项 目的 经 理 来 负责 定期 的 项 目 状态 会 议 、 进 度 检查 、 启 用 意外 事件 计 
划 和 减少 组 织 之 间 的 问题 。 召 集 代 表 每 一 个 功能 范围 的 项 目 成 员 参 加 状态 会 议 ， 
提供 自 上 次 会 议 以 来 的 活动 情况 、 新 的 问题 或 花费 ， 以 及 其 他 成 员 任何 信息 或 
资源 需求 的 报告 。 
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8.2 项 目 管理 


目标 是 根据 所 需 的 人 力 和 总 体 预算 等 资源 可 用 性 ,来 确定 整个 项 目 计划 的 
基线 。 一 旦 基线 确定 ， 项 目 计划 就 会 作为 备案 计划 ， 而 计划 小 组 将 会 使 用 这 个 
文档 来 监控 项 目 状 态 。 项 目 计划 帮助 确定 未 来 的 应 交付 产品 及 其 附属 物 。 而 在 
项 目 小 组 会 议 上 的 讨论 应 该 关注 于 在 会 议 之 前 可 以 交付 的 东西 和 这 次 会 议 到 下 
次 会 议 之 间 交 付 的 东西 ， 以 及 任何 可 能 影响 可 交付 日 期 的 问题 。 

项 目 领导 必须 要 有 各 种 不 同 的 能 力 ， 包 括 组 织 能 力 、 领 导 能 力 、 创 新 能 
良好 的 判断 力 和 灵活 性 。 项 目 领导 对 整个 项 目 负责 ， 特 别 需要 为 以 下 事物 负责 : 

e 部 署 项 目的 所 有 计划 方面 ， 包 括 记 录 和 更 新 项 目 计划 、 公 布 项 目 团队 和 临 
时 遇 到 的 问题 ， 以 及 定期 和 根据 需求 交流 状态 信息 。 

e 管理 项 目 ， 使 其 取得 进展 ， 同 时 识别 出 问题 ， 清 楚 地 表达 问题 并 且 能 够 控 
制 并 解决 问题 。 

e 监控 项 目的 任务 完成 状态 、 资 源 的 使 用 与 预算 、 问 题 状 态 和 应 急 方 案 。 

e 保持 项 目 团队 成 员 之 间 的 合作 ， 确 保 呈 现状 态 、 提 供 信 息 、 支 持 讨论 各 个 
功能 都 可 以 实现 ， 保 证 问题 的 解决 。 

© 使 用 组 织 文 化 来 刺激 项 目 组 ， 让 其 人 员 勤 奋 地 完成 相应 的 任务 而 不 会 拖 别 
的 组 员 的 后 腿 。 

o 使 用 团队 资源 来 讨论 问题 、 找 出 原因 、 最 可 能 的 解决 方案 及 其 产生 环境 。 
讨论 突 发 事件 及 对 进度 和 成 本 的 影响 ， 并 且 得 出 解决 方案 。 

e 无 论 是 在 平时 还 是 项 目 出 问题 的 时 候 ， 都 要 简洁 地 交流 项 目 状态 。 

每 一 个 小 组 成 员 还 必须 为 自己 的 功能 区 负责 。 这 里 所 说 的 功能 区 应 该 包含 
所 有 可 能 受 影响 的 区 域 ， 包 括 网 络 操作 (network operations), TFE (engineering), 
网 络 测试 (network testing), 、 用 户 /终端 客户 支持 ( customer/end user support) 、 
安全 (security) 和 网 络 管理 (network management) 。 理 想 情 况 下 ， 每 一 个 小 组 
成 员 有 权 在 会 议 上 做 出 决策 以 加 快 问题 的 解决 而 无 需 过 多 可 能 引起 项 目 延 期 的 
后 续 会 议 。 从 这 整 本 书 可 以 看 出 ，IPv6 的 部 署 功能 是 多 功能 交织 并 且 有 极 大 广 
度 的 。 所 以 ， 应 该 要 好 好 挑选 你 项 目 组 的 成 员 。 

一 份 优秀 的 项 目 文档 可 以 简化 部 署 阶段 ， 虽然 文档 中 仍然 可 能 存在 一 些 考 
虑 不 周 之 处 。 基 本 的 部 署 过 程 如 图 8-2 所 示 。 下 面 通 过 三 个 方面 说 明 这 个 过 程 : 
第 一 个 方面 ,包括 当前 供应 商 ， 因 为 要 保证 IPv6 实施 的 顺畅 必须 要 和 它们 合作 ; 
第 二 个 方面 ， 包 括 为 新 的 网 络 、 新 的 IP 管理 、 新 的 安全 或 者 新 的 网 络 管理 组 件 
寻找 的 新 的 供应 商 ; 第 三 个 方面 ,包括 为 布置 和 管理 任务 而 存在 的 内 部 人 员 或 
咨询 人 员 。 
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与 当前 供应 
商 一 起 进行 | | _ 
设备 升级 和 
更 改 


施行 计划 


新 的 (或 者 符 产品 配置 (全 开始 
wee PORR F- a 部 的 或 者 阶 IPv4/IPv6 
应 商 的 选择 段 性 的 ) 管理 过 程 
雇员 增补 | | _ | 
和 /或 训练 


图 8-2 基本 的 部 署 过 程 


如 图 8-2 所 示 的 迭代 过 程 ， 定 期 的 项 目 会 议 为 “工作 计划 (working the 
plan) ”提供 了 一 个 最 初 在 实验 室 里 处 理 和 部 署 系统 以 便 进 行 测试 、 确 认 进 度 和 
问题 、 反 馈 计 划 的 修订 版 本 和 遇 到 突 发 情况 的 机 会 。 当 不 可 避免 的 问题 出 现 的 
时 候 ， 每 一 个 问题 都 被 记录 、 讨 论 并 尽快 完美 地 解决 是 非常 有 必要 的 。 这 些 解 
决 方法 的 影响 可 能 会 涉及 单个 工作 区 到 计划 的 主要 变动 ， 并 且 都 会 对 资源 和 费 
用 预算 有 一 定 影响 。 不 过 不 管 这 个 影响 范围 是 怎样 的 ， 在 解决 方法 中 所 有 的 问题 
都 必须 被 监控 。 而 项 目 计 划 也 必须 更 新 以 反映 任何 资源 变动 (reflect any resource 
changes) 、 系 统 或 基础 设施 替换 (system or infrastructure substitutions) 、 进 度 表 的 
超时 和 提前 (schedule slips and advances) 或 者 预算 变动 (budgetary changes) 。 


8.3 测试 部 署 


正如 之 前 所 说 的 那样 ，IPv6 的 部 署 一 定 要 先 在 一 个 非 生产 (non-production) 
环境 或 者 一 个 实验 室 环境 中 被 验证 有 效 ， 以 保证 尽量 少 与 IPv4 生产 网 络 
(production IPv4 network) 冲突 。 如 果 说 项 目 计 划 定 义 了 网 络 设 备 和 网 络 系统 的 
实施 ， 那 么 测试 计划 就 是 这 个 系统 在 开始 部 署 之 前 最 后 的 关口 。 除 了 识别 问题 ， 
测试 阶段 还 能 够 丰富 IPv4- IPv6 在 地 址 分 配 、 配 置 基础 设施 、 安 全 和 管理 系统 上 
的 经 验 ， 而 且 可 以 发 现 两 个 协议 相互 作用 时 候 会 出 现 的 问题 。 除 了 IPv6 待 开 发 
部 分 的 部 署 之 外 ,将 IPv4 和 IPv6 一 起 测试 是 值得 推荐 的 。 

网 络 中 错误 的 情况 和 模拟 的 安全 攻击 都 应 该 包括 在 实验 室 测 试 阶段 ， 以 便 
确认 网 络 设 备 的 响应 ， 以 及 安全 和 管理 系统 所 对 应 的 检测 通告 。 稍 稍 调整 网 络 
或 者 设备 的 参数 设置 并 重新 测试 ， 可 以 帮助 找到 最 好 的 参数 。 另 外 ， 文 档 和 日 
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志 可 以 帮助 建立 侦 测 到 的 “症状 〈symptoms)” 到 网 络 可 能 的 根源 的 知识 库 ， 其 
中 所 说 的 文档 记录 了 模拟 状况 到 安全 和 管理 系统 中 的 通知 和 和 警告 的 映射 。 

因此 测试 阶段 需要 包括 来 自 所 有 计划 阶段 的 输入 ,这 些 阶段 包括 IP 网 络 
(IP network), IP 寻 址 (IP addressing) 、 网 络 管理 (network management) 和 安 
全 (security) 。 而 在 测试 阶段 的 输入 包括 ， 有 IPv6 能 力 的 基础 设备 的 清单 列表 、 
对 IPv4- IPv6 网 络 基础 设备 的 修改 计划 清单 ， 以 及 与 之 相关 的 IPv6 地 址 计划 、 网 
络 管理 和 安全 。 为 IPv6 做 了 更 新 的 安全 策略 文档 也 是 一 个 十 分 重要 的 输入 ， 它 
有 助 于 测试 那些 计划 中 的 基础 设备 的 策略 依附 性 。 

在 测试 阶段 出 现 的 问题 一 定 要 在 项 目 小 组 中 进行 讨论 。 那 些 不 能 在 项 目 范 
围 内 解决 的 问题 ， 可 能 还 需要 供应 商 参 与 讨论 ; 或 者 ,假如 当时 采取 了 一 个 临 
时 解决 方案 ， 那 么 还 需要 部 置 一 些 后 期 工作 。 本 书 建 议 使 用 实验 室 中 完整 的 配 
置 ,来 简化 对 升级 、 正 在 进行 的 故障 排除 及 生产 网 络 的 问题 重 现 (reproduction 
of production network problems) 的 测试 。 


8.4 生产 管理 


测试 完成 以 后 很 可 能 会 产生 一 个 错误 列表 ， 这 个 列表 会 列 出 错误 用 例 、 检 
测 到 的 异常 和 相关 的 网 络 影响 。 项 目 团队 和 高 层 领导 需要 确定 是 否 有 一 些 错 误 
会 阻止 首次 发 布 。 如 果 是 ， 这 个 错误 必须 马上 解决 , 或 者 通过 限定 一 个 可 接受 
的 备 选 方案 来 解决 。 当 这 种 阻碍 被 很 好 地 处 理 以 后 ， 剩 下 的 问题 应 该 是 在 问题 
影响 范围 和 所 做 修改 方面 上 进行 文档 化 ， 以 及 是 否 在 生产 网 络 中 适当 地 监控 
事件 。 

在 初始 部 署 以 后 ， 生 产 网 络 应 该 马上 被 密切 监控 。 实 验 室 测试 帮助 描绘 了 
IPv6 的 流量 特征 ， 但 是 现实 生产 环境 中 往往 会 出 现 一 些 意 想不到 的 情况 。 所 以 
最 好 密切 监控 IPv6 的 流量 和 安全 日 志 。 在 分 阶段 部 署 中 ， 在 初始 部 署 之 后 不 那 
么 需要 实验 室 测 试 ， 除 非 有 一 个 新 的 部 件 被 添加 到 这 个 网 络 中 。 在 实验 室 中 得 
到 一 个 比较 满意 的 运行 等 级 之 后 ， 随 后 就 要 密切 监控 的 部 署 阶段 ， 该 阶段 在 生 
产 环境 计划 范围 内 全 面部 署 IPv6 的 各 个 部 件 。 
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基于 良好 管理 计划 的 IPv6 部 署 ， 为 成 功 的 部 署 和 IPv4/IPv6 网 络 部 署 后 的 持 
续 管理 建立 了 基础 。IPv6 部 署 可 能 完全 与 IPv4 网 络 重 受 或 者 可 能 只 共享 网 络 的 
一 个 相同 部 分 (如 只 是 与 因特网 相连 的 部 分 )， 而 IPv4 仍然 盛行 (就 目前 来 
说 )。 男 外 ， 如 果 部 署 计划 包括 多 个 阶段 ， 则 每 个 阶段 必须 测试 并 且 进 入 生产 ， 
包括 合并 到 网 络 管理 域 中 。 如 本 书 第 7 章 介绍 的 ， 经 过 对 网 络 管理 的 准备 ， 现 
在 是 时 候 从 这 个 配置 、 监 控 、 维 护 和 管理 网 络 的 谨慎 计划 中 获得 回报 。 

鉴于 “网 络 ” 在 IPv6 部 署 之 后 仍然 是 那个 “网 络 ”， 物 理 管理 范围 似乎 变 
化 不 大 ， 在 程序 上 或 许 更 是 如 此 。 从 现在 开始 ， 在 M&P 方面 必须 考虑 IPv6 的 地 
址 计划 ， 以 进行 IPv6 连接 的 跟踪 、 安 全 和 故障 排除 ， 以 及 与 IPv6 相关 的 统计 监 
测 和 分 析 。 本 章 将 讨论 这 些 问 题 。 


9.1 常见 的 网 络 管理 任务 


回顾 本 书 第 7 章 介绍 的 FCAPS 的 基本 功能 分 类 ， 下 面 将 从 “配置 ”开始 讨 
论 一 些 常 见 的 管理 任务 ， 然 后 再 讨论 其 他 类 别 。 在 描述 这 些 任 务 时 ， 已 经 遵循 
了 所 需 的 步骤 。 你 的 过 程 中 可 能 还 需要 其 他 的 文档 和 审批 步骤 。 


9.2 配置 管理 


配置 管理 是 一 个 基本 的 网 络 管理 功能 ， 并 在 初始 部 署 后 由 技术 或 业务 等 举 
措 驱 动 ， 如 添加 (或 修改 ) 一 个 新 设备 或 新 的 网 络 服务 ， 或 创立 一 个 新 的 分 文 
机 构 。 本 节 将 讨论 一 些 与 管理 IP 地 址 空间 和 设备 配置 相关 的 常见 且 特 别 需要 的 
任务 。 这 些 任务 涉及 日 常 由 业务 驱动 的 活动 ， 影 响 着 网 络 策划 者 对 移动 、 添 加 
和 变更 设备 、 子 网 及 新 的 办 公 地 点 的 考虑 。 该 配置 管理 功能 的 结果 是 ， 每 一 个 
网 络 的 核心 要 素 ， 包 括 路 由 器 、 交 换 机 、 防 火 墙 和 像 DHCP 服务 器 和 DNS 这 样 
的 网 络 服务 ， 都 必须 被 配置 以 便 在 网 络 中 各 司 其 职 。 其 他 特定 设备 的 参数 通常 
需要 被 配置 为 与 之 前 一 样 ， 可 能 会 增加 额外 的 IPv6 配置 信息 。 


9.2.1 网 络 中 与 配置 相关 的 任务 
下 面 来 考虑 这 样 一 个 例子 ， 需 要 规划 一 个 新 的 办 公 地 点 ， 可 以 是 一 个 零售 
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商店 、 分 支 机 构 或 是 需要 IPv4 和 IPv6 支持 新 的 网 站 。 对 网 络 规划 者 来 说 ， 配 置 
管理 涉及 地 址 空间 的 规划 、 对 现 有 和 新 的 基础 设施 〈 静 态 的 ) 的 IPv4 和 IPv6 地 
址 的 分 配 、 其 他 设备 地 址 的 判定 和 分 配 、 安 全 策略 的 实现 ， 以 及 设备 特定 的 网 
络 信息 配置 (其 中 包括 DHCP/DHCPv6 服务 器 和 DNS 配置 ) 。 除 了 分 配 的 IPv4 
和 IPv6 子 网 3 外 ， 如 果 地 址 空间 已 经 根据 每 个 应 用 程序 进行 了 分 割 ， 则 可 能 还 
需要 多 个 子 网 ， 如 本 书 第 5 章 地 址 计划 里 提出 的 VoIP 地 址 和 无 线 地 址 。 

假定 已 提供 新 网 站 地 址 分 配 的 典型 的 模型 或 “模板 ”， 试 确定 其 版 本 (IPv4 
与 IPv6) 、 类 型 (VoIP 与 无 线 等 ) ， 以 及 所 需 子 网 的 大 小 。 需 要 注意 的 是 ， 鉴 
于 /64 的 IPv6 子 网 的 纯 容 量 ， 你 可 能 选择 在 网 站 中 为 所 有 服务 分 配 一 个 IPv6 子 
网 ， 以 此 简化 你 的 子 网 划分 计划 和 简单 地 配置 多 个 DHCPv6 池 。 对 于 每 个 子 网 ， 
找 出 可 用 的 子 网 地 址 ， 进 而 产生 对 给 定 的 位 置 和 应 用 的 地 址 分 配 计划 ,以 及 IP 
地 址 规划 “数据 库 ” 中 的 子 网 分 配 。 这 些 是 根据 这 个 级 别 网 络 层 次 的 配置 策略 
进行 的 。 比 方 说 ， 用 最 合适 的 方法 为 每 种 类 型 分 配 下 一 个 可 用 的 子 网 。 这 就 需 
要 选择 规模 达到 或 超过 每 种 类 型 所 需 大 小 的 最 小 可 用 子 网 。 

除了 识别 和 记录 每 一 个 已 分 配 的 子 网 ， 子 网 分 配 的 过 程 中 ， 需 要 在 适当 的 
路 由 器 接口 配置 每 个 子 网 地 址 和 配置 IPv6 子 网 前 绥 选 项 ， 如 在 路 由 器 通告 中 设 
置 或 清除 “M” 和 “0” 位 以 显示 DHCPv6 的 可 用 性 。 当 使 用 DHCPZDHCPv6 
时 ,在 本 地 路 由 厂 中 可 能 还 需要 对 “helper”( 中 继 代 理 ) 地 址 进行 配置 。 一 些 
子 网 上 单独 的 IP 地 址 需要 分 配给 基础 设备 ， 如 每 个 分 配 的 子 网 路 由 器 和 服务 器 。 
定义 和 更 新 DHCPv6 服务 器 的 配置 也 需要 设置 地 址 池 ， 以 及 相应 的 DHCPv6 选项 
和 (或 ) 客户 端 类 参数 。 这 些 都 是 在 子 网 中 使 用 DHCPv6 的 设备 所 需要 的 。 

现在 和 未 来 ， 在 子 网 分 配 有 地 址 的 设备 可 能 需要 DNS 的 名 称 解 析 人 信息。 至 
少 ， 这 个 信息 适用 于 正 向 域 的 域名 到 IP 地 址 查询 ， 以 及 反 向 域 的 IP 地 址 到 名 称 
查找 。 这 需要 通过 域 更 新 (如 in- addr. arpa 域 和 ip6. arpa IÈ) 和 为 名 称 服务 器 与 
静态 分 配 的 地 址 所 做 的 资源 记录 更 新 ， 以 达到 定义 和 更 新 DNS 配置 的 目的 。 当 
然 ， 这 些 域 必须 存在 或 被 调配 和 配置 在 各 自 的 DNS 上 。 

根据 域 的 拓扑 结构 ， 可 以 利用 现 有 的 区 域 增加 新 的 子 网 到 一 个 位 置 ， 虽然 
这 不 是 必须 的 。 一 个 新 域 可 能 需要 被 定义 或 配置 成 一 个 子 域 或 一 个 在 适当 DNS 
上 的 全 新 的 区 域 。 同 样 的 ， 可 能 也 需要 添加 与 子 网 地 址 一 致 的 反 向 域 ， 除 非 更 
高 层 的 in-addr. arpa 或 ip6. arpa 区 域 拥 有 相应 的 PTR 资源 记录 。 

试 考虑 基于 新 分 配 的 网 络 和 设备 对 你 的 安全 策略 造成 的 影响 。 过 滤 ACL 可 
能 需要 升级 到 能 让 子 网 上 的 设备 穿 过 防火 墙 。DNS 的 ACL 可 能 也 需要 更 新 ， 以 


”如 果 打 算 使 用 隧道 或 转换 技术 支持 IPv6 ，IPv6 子 网 配置 可 能 不 是 必要 的 ， 尽 管 两 者 可 能 分 别 需 要 
主机 配置 或 转换 网 关 配 置 。 


第 9 章 管理 IPv4/IPv6 网 络 153 


适应 新 分 配 的 子 网 上 的 服务 器 或 设备 的 动态 DNS 更 新 。 

子 网 分 配 过 程 说 明了 地 址 分 配 、 指 派 、 安 全 和 路 由 器 策略 ， 以 及 DHCPv6 服 
务 器 和 DNS 配置 任务 之 间 紧 密 的 相互 关系 。 根 据 你 的 业务 流程 ， 子 网 可 以 在 地 
址 指定 和 网 络 元 素 的 配置 之 前 被 分 配 或 保留 。 然 而 ， 以 下 这 一 整套 步骤 通常 需 
要 投入 一 个 子 网 : 

e 识别 在 需要 每 个 子 网 的 网 络 拓扑 范围 内 可 用 的 地 址 空间 。 

e 从 相应 的 地 址 空间 中 为 每 个 子 网 分 配 所 需要 的 大 小 ， 同 时 记录 TP 地 址 计 
划 中 的 分 配 情 况 。 

e 更 新 关于 已 配置 网 络 的 路 由 配置 。 

e 分 配 和 提供 手动 分 配 地 址 给 路 由 器 、 服 务 器 或 其 他 的 子 网 基础 设备 。 

e 根据 需要 设计 和 配置 DHCP/DHCPv6 地 址 池 来 为 子 网 上 的 动态 主机 提供 服 
务 。 这 可 能 需要 选项 、 指 令 和 客户 类 别 的 关联 。 该 客户 类 别 基于 为 地 址 池 的 使 
用 而 定制 的 设备 的 需求 。 

e 定义 服务 子 网 上 的 主机 所 需要 的 新 的 DNS 域 ， 在 新 的 或 已 存在 的 域 中 为 
基础 设施 或 静态 设备 定义 资源 记录 ， 并 配置 合适 的 DNSS 。 

© 考虑 允许 或 限制 每 个 已 分 配子 网 之 间 的 可 达 性 所 需要 的 安全 策略 更 新 。 

e 通过 确认 子 网 的 配置 和 可 达 性 ， 以 及 网 络 合适 度 和 应 用 性 能 ， 此 外 也 通过 
验证 相应 的 DHCP 和 DNS 配置 和 其 他 一 些 核心 网 络 服务 (如 NTP) ,来 完成 分 配 


9.2.2 添加 新 设备 


向 网 络 中 添加 一 个 新 的 设备 ， 涉 及 配置 其 IP 地 址 或 分 配方 法 ， 配 置 设 备 上 
的 安全 设置 ， 并 设置 特定 于 应 用 程序 的 参数 。 分 配 、 取 消 分 配 和 重新 分 配 卫 地 
址 到 单个 主机 往往 是 在 许多 组 织 中 最 常见 的 配置 管理 活动 。 这 通常 类 似 设备 的 
部 署 、 重 新 部 署 或 拆除 ， 包 括 路 由 器 、 服 务 器 、 打 印 机 等 。 就 地 址 分 配 而 言 ，IP 
地 址 清单 数据 库 应 满足 通过 查询 ， 立 刻 确定 可 用 的 IP 地 址 。 虽 然 把 整个 库存 保 
证 作为 一 个 单独 的 任务 来 讨论 ,但 是 只 是 为 了 验证 库存 的 准确 性 而 去 ping 每 个 
被 分 配 的 候选 IP 可 能 有 用 的 。 被 分 配 的 IPv4 和 /或 IPv6 地 址 ， 应 指派 给 网 络 清 
单数 据 库 中 指定 的 设备 。 如 果 正 在 使 用 在 这 个 特定 的 子 网 上 支持 的 IPv6 主机 端 
点 隧道 ， 请 注意 清单 内 相关 的 隧道 地 址 。 

物理 IP 地 址 可 以 通过 SLAAC 或 通过 使 用 DHCPADHCPvY6， 以 手动 (静态 ) 
配置 设备 的 方式 进行 。 在 静态 分 配 的 情况 下 ,分 配 的 地 址 必须 直接 在 设备 上 进 


O ”在 某 些 网 络 中 ，DHCP 地 址 的 资源 记录 的 预 配置 是 必需 的 ， 以 允许 这 些 地 址 的 用 户 在 没有 执行 动 
态 DNS 更 新 的 情况 下 出 现在 DNS 中 ( 如 方便 VPN 的 连接 ， 该 连接 需要 PTR 记录 的 存在 ) 。 
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行 配 置 ， 因 此 除非 IP 地 址 分 配 者 也 同时 负责 物理 分 配 ， 这 个 过 程 可 能 需要 一 个 
电子 邮件 或 电话 来 把 输入 的 IP 地 址 信息 传达 给 设备 所 有 者 。 如 果 启 用 SLAAC, 
该 设备 将 自动 配置 IPv6 地 址 ; 确定 选择 什么 地 址 将 要 求 本 地 的 “控制 台 ” 能 够 
显示 它 或 轮 询 路 由 器 的 邻 节点 表 。 当 使 用 DHCP 时 ， 如 果 需 要 一 个 确定 的 IPv6 
地 址 ， 一 条 在 适当 的 DHCP 服务 器 配置 文件 中 的 条 目 可 能 对 设备 的 DUID 到 分 配 
的 IP 地址 的 映射 十 分 重要 。 

大 多 数 具 有 IP 地 址 的 设备 需要 相应 的 DNS 资源 记录 使 得 通过 主机 名 实现 可 
达 。 使 用 地 址 分 配 的 DHCP 方法 ，DHCP 服务 器 可 以 被 配置 来 更 新 用 于 IP 地 址 
分 配 的 主 DNS。 此 更 新 将 影响 用 于 域名 到 TP 地 址 (AZAAAA) 查找 的 正 向 域 和 
用 于 反问 (PTR) 查询 反 向 域 。 如 果 手 动 分 配 地 址 ， 需 要 一 个 类 似 的 DNS 更 新 
的 任务 。 用 新 的 主机 信息 更 新 DNS 可 能 需要 编辑 或 更 新 服务 器 上 相应 的 区 域 文 
件 ， 或 通过 发 送 动态 更 新 。 

你 可 能 不 想 要 自动 配置 的 设备 靠 自己 更 新 DNS， 至 少 在 一 个 企业 网 络 中 是 
如 此 ， 虽 然 这 可 能 适合 于 社区 或 特定 的 网 络 。 识 别 一 个 新 的 自动 配置 的 设备 的 
存在 ， 以 手动 更 新 DNS， 具有 一 定 的 挑战 ! 如 果 此 类 设备 需要 在 DNS 中 的 解析 
信息 ， 可 能 需要 使 用 路 由 器 日 志 或 子 网 宕 探 工具 来 确定 IPv6 地 址 。 

根据 所 添加 设备 的 类 型 ， 在 设备 上 配置 的 安全 策略 可 能 包括 定义 ACL, Me 
置 主机 防火 墙 和 (或 ) 初始 化 其 他 预防 性 安全 措施 ， 如 反 恶 意 软件 的 软件 。 如 
果 需 要 ， 风 险 管 理 系统 可 能 需要 进行 初始 化 ， 以 使 设备 的 配置 和 管理 得 以 进行 。 

总 之 ， 增 加 一 个 新 设备 的 任务 包括 以 下 子 任务 : 

o 确定 设备 将 如 何 获 得 IP 地址， 通过 手动 配置 、SLAAC 或 DHCP, 

e 如 果 是 DHCP， 如 有 地 址 池 ， 确 定子 网 上 当前 的 地 址 池 是 否 有 支持 设备 的 
fie; 如 没有 地 址 池 ， 在 DHCP 服务 器 上 配置 对 应 DHCP 类 型 的 地 址 池 及 必要 
的 选项 参数 。 

e 如 果 是 手动 DHCP ( 即 该 设备 通过 DHCP 分 配 到 一 个 “静态 ”的 地 址 ) ， 
在 设备 所 在 的 子 网 内 找 出 一 个 空闲 的 IP 地 址 ， 并 通过 配置 DHCP 服务 器 将 该 地 
址 分 配给 设备 ， 从 而 为 设备 的 DUD 设置 保留 或 分 配 手动 的 DHCP 地 址 。 

e 如 果 是 在 设备 上 手动 配置 ， 在 设备 所 在 的 子 网 中 找 出 一 个 空闲 的 IP 地 址 ， 
并 将 该 地 址 分 配给 设备 。 将 所 分 配 的 静态 IP 地 址 手动 配置 在 设备 上 。 如 果 可 能 
的 话 ， 选 择 一 个 非 单调 增加 的 〈 即 随机 的 ) 接口 ID, 

e 在 所 有 情况 下 ， 用 已 分 配 的 地 址 来 更 新 IP 地 址 计划 ， 无 论 是 使 用 电子 表 
格 或 使 用 其 他 IPAM 工具 。 

。 确定 是 否 需 要 手动 创建 和 更 新 DNS 资源 记录 。 对 静态 分 配 地 址 来 说 ， 通 
常 是 如 此 。 对 于 DHCP 分 配 的 设备 ，DHCP 服务 器 可 以 被 配置 来 执行 动态 更 新 。 
虽然 在 动态 更 新 对 于 政策 不 可 行 或 不 被 政策 允许 的 情况 下 ， 可 能 需要 相应 资源 
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记录 的 手动 更 新 。 

。 配置 设备 的 安全 软件 和 策略 。 

e 如 有 必要 ， 配 置 设备 管理 参数 。 

o 通过 ping 成 功 和 验证 其 DNS 中 的 资源 记录 ,来 验证 地 址 分 配 过 程 是 否 完 
成 。 通 过 地 址 池 分 配 的 地 址 的 设备 ， 可 能 不 需要 验证 。 然 而 ， 如 果 需 要 ， 则 该 
地 址 可 能 不 是 事先 已 知 的 。 在 这 种 情况 下 ， 定 位 设备 的 MAC 地 址 或 DHCP 租约 
文件 中 的 DUID ， 然 后 由 相应 地 址 的 ping 证 实 其 是 否 被 成 功 分 配 。 


9.2.3 删除 任务 


地 址 分 配 是 一 个 自 上 而 下 的 过 程 ， 从 你 的 基础 部 署 分 层 块 的 分 配 ， 然 后 子 
网 可 被 分 配 ，IP 地 址 可 被 分 配 。 删 除 设备 或 地 址 空间 需要 进行 逆 操作 ， 且 必须 
是 自 底 向 上 的 。 在 底层 的 块 、 子 网 和 设备 删除 之 前 ， 删 除 一 个 地 址 块 将 使 这 些 
底层 元 素 陷 于 困境 。 
9.2.3.1 删除 设备 

从 网 络 中 删除 设备 的 操作 相对 简单 : 根据 需要 ， 在 网 络 库 在 和 相应 的 安全 
和 管理 系统 中 将 设备 表示 为 被 删除 或 待 删除 对 象 。 这 包括 从 DHCP 服务 器 上 移 
除 任何 M-DHCP 条 目 (如 果 合 适 的 话 ) ， 释 放 和 租赁， 并 删除 相关 的 DNS 资源 记 
录 。 但 是 ， 在 把 地 址 分 配给 另 一 台 设 备 之 前 ， 必 须 小 心 确保 该 地 址 已 被 设备 放 
AH. DHCP 和 DNS 更 新 已 完成 。 例 如 ， 仅 删除 一 个 DHCP 服务 器 上 的 租赁 并 不 
会 迫使 持 有 该 租赁 的 客户 放弃 它 。DHCP 配置 消息 旨 在 迫使 DHCP 客户 进入 更 新 
状态 ， 使 一 台 服 务 器 可 能 确认 响应 客户 更 新 租约 的 请 求 ， 从 而 释放 地 址 。 然 而 ， 
这 还 没有 被 广泛 实现 。 

将 地 址 表示 为 “ 待 删除 ”或 类 似 的 状态 ,会 提醒 其 他 管理 员 不 要 将 该 地 址 
分 配给 另 一 个 设备 ， 直 到 收 到 对 其 可 用 性 的 确认 。 这 个 确认 过 程 需要 ping HHE, 
也 许 先 后 超过 数 天 ， 并 确认 在 DNS 和 DHCP 服务 器 中 与 其 相关 联 的 数据 被 删除 。 

如 果 被 删除 的 设备 本 身 是 网 络 元 件 ， 则 需要 关注 被 删除 IP 地 址 的 ACL 或 相 
关 的 信息 。 例 如 ， 如 果 删 除 一 台 DNS， 其 地 址 应 从 相应 的 “允许 更 新 的 ”或 有 
关 的 DNS ACL 中 删除 。 
9.2.3.2 删除 子 网 

在 关闭 一 个 网 站 或 合并 地 址 空间 时 ， 可 能 需要 删除 一 个 子 网 。 在 被 删除 的 
子 网 中 带 IP 地 址 的 设备 应 该 被 移 除 或 退役 ， 这 样 的 子 网 才 是 没有 地 址 分 配 (或 
许 不 同 于 其 他 子 网 服务 的 路 由 器 ) 。 在 所 有 IP 地 址 已 确认 为 空闲 的 之 后 ， 子 网 
可 能 被 回收 到 空闲 地 址 空间 用 于 未 来 的 分 配 。 

在 释放 一 个 子 网 时 ， 可 能 会 将 释放 的 空间 合并 到 一 个 连续 的 地 址 块 中 ， 从 
而 得 到 一 个 更 大 的 空闲 块 用 于 未 来 的 分 配 。 与 防火 墙 和 DNS ACL 配置 相关 的 其 


156 IPv6 部 署 和 管理 


他 日 常任 务 应 考虑 被 删除 子 网 、 域 、ACL 和 资源 记录 。 
9.2.4 地 址 重 编 或 移动 任务 


移动 或 重 编 地 址 块 、 子 网 或 独立 地 址 基本 上 结合 了 分 配 过 程 和 删除 过 程 。 
如 上 所 述 ， 分 配 过 程 应 以 和 月 上 而 下 的 方式 ， 对 那些 底层 子 网 和 IP 地 址 将 被 移动 
到 的 空间 进行 分 配 。 当 地 址 被 移动 到 分 配 的 目标 空间 后 ， 删 除 过 程 从 下 往 上 地 
释放 了 地 址 空间 。 在 本 质 上 ， 分 配给 被 移动 的 地 址 范围 的 大 小 必须 能 容纳 被 移 
动 地 址 ， 临 时 地 址 空间 应 为 与 设备 组 相关 联 的 地 址 空间 的 两 倍 。 当 地 址 被 移动 ， 
前 者 的 地 址 空间 可 被 释放 ， 返 回 地 址 分 配 到 以 前 的 水 平 。 
9.2.4.1 设备 移动 

从 IP 地 址 分 配 的 角度 来 看 ， 移 动 服 务 器 或 其 他 设备 可 看 作 在 目标 子 网 分 配 
IPv4/IPv6 地 址 和 在 移动 完成 后 删除 当前 子 网 的 IP 地址 两 者 的 结合 。 根 据 地 址 分 
配 的 方法 和 移动 的 类 型 ， 可 以 使 用 不 同 的 策略 。 移 动 类 型 包括 设备 物理 移动 到 
不 同 的 子 网 (物理 移动 ) 和 在 同一 或 不 同 的 子 网 里 重新 分 配 的 IP 地 址 (逻辑 移 
动 或 重 编 ) 。 非 移动 耻 设备 的 物理 移动 ， 如 服务 器 ， 通 常会 涉及 关闭 电源 和 重 
新 启动 ， 提 供 了 更 多 的 地 址 分 配 过 程 中 的 时 机 控制 。 

物理 移动 ”物理 移动 意味 着 将 设备 断 电 、 移 动 ， 然 后 在 目标 位 置 通电 。 这 
里 假定 在 其 他 网 络 设 备 移 动 之 前 ， 路 由 器 和 交换 机 已 经 在 目标 位 置 完成 了 安装 
和 配置 。 这 种 方法 有 助 于 最 大 限度 地 减少 停机 时 间 ， 和 否则 将 体验 一 个 完整 的 
“ 拿 起 然后 移动 ”的 方式 。 对 于 DHCP 和 DHCPv6 分 配 的 设备 ， 如 果 整 个 池 被 移 
动 ， 应 在 DHCP 服务 器 上 建立 与 每 种 所 需 IP 地 址 类 型 对 应 的 目标 池 。 确 保 服务 
目标 子 网 的 路 由 器 被 配置 为 中 继 DHCP 报 文 到 与 新 池 配 置 在 一 起 的 DHCP 服务 
器 。 你 还 可 以 为 DHCPv6 配置 中 继 ， 尽 管 知名 多 播 地 址 已 被 定义 回避 这 一 要 求 。 

当 被 移动 设备 在 新 位 置 启 动 ， 它 们 可 能 会 尝试 更 新 最 近 它 们 在 原子 网 上 持 
有 的 租约 。DHCPv6 服务 器 会 对 每 个 客户 的 请 求 消息 发 出 回复 ， 表 明 不 能 更 新 有 
关 租约 。 客 户 端 将 重新 初始 化 并 发 出 一 个 请 求 数 据 报 ， 以 取得 新 的 租约 。 
DHCPv6 服 务 器 从 新 的 目的 池 中 发 放 IPv6 地 址 租约 。 一 旦 所 有 设备 完成 物理 移 
动 ， 服 务 于 原子 网 的 池 可 能 会 退役 。 

手动 DHCP (Manual DHCP, M-DHCP) 设备 就 像 是 一 个 自 举 协议 (bootp) 
设备 ,每 次 与 DHCP 交换 时 都 接收 相同 的 IP 地 址 。 这 需要 在 DHCPv6 服务 器 的 
配置 中 有 一 个 预 配置 的 一 对 一 的 关联 关系 ， 即 设备 的 DUID 与 一 个 固定 的 IPv6 
地 址 对 应 。 一 个 M-DHCP 设备 的 物理 移动 需要 在 服务 于 新 子 网 的 DHCPv6 服务 
器 中 创建 M-DHCP (“主机 ”) 条 目 ， 且 在 之 后 删除 在 原 DHCPv6 服务 器 上 的 条 
目 。 如 果 正 在 使 用 相同 的 DHCPv6 服务 器 ， 则 只 需 编 辑 与 设备 的 DUID 相关 的 IP 
地 址 。 设 备 在 新 子 网 上 电 时 ， 它 应 该 遵循 上 述 类 似 的 过 程 ， 伴 随 着 DHCPv6 过 程 
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的 重新 初始 化 。 

移动 一 个 自动 配置 IPv6 地 址 的 设备 ， 将 导致 设备 开机 后 会 通过 路 由 器 发 现 
和 相应 的 子 网 政策 (包括 DHCPv6 服务 的 可 用 性 ) 来 检测 其 新 的 子 网 。 设 备 如 
果 使 用 SLAAC， 则 自动 配置 其 IPv6 地 址 ， 然 后 通过 重复 地 址 检测 验证 其 唯一 
性 。 如 果 使 用 DHCPv6 ， 伴 随 的 是 正常 的 DHCPv6 过 程 ， 用 以 获取 IPv6 地 址 和 相 
关 参 数 。 在 某 些 情况 下 ( 即 当 路 由 器 通告 中 0 位 被 设置 且 M 未 设置 )， 自 动 配 
置 和 DHCPv6 均 可 使 用 。 

DNS 资源 记录 的 更 新 可 能 由 DHCP 服务 器 在 分 配 地 址 时 进行 。 这 个 过 程 可 
以 更 新 正 向 (A/AAAA) 和 反 向 区 域 记 录 ( 即 PTR)。 如 果 SLAAC 被 支持 且 
DNS 更 新 可 以 信任 ， 终 端 客 户 端 可 能 会 被 配置 为 自动 更 新 DNS。 该 信任 模型 是 
依赖 组 织 的 。 一 些 组 织 放弃 DNS 更 新 ， 因 为 考虑 到 这 种 主机 将 无 法 通过 名 称 访 
问 。 另 一 种 选择 是 使 用 IPAM 系统 或 使 用 动态 主机 的 A/AAAA 记录 和 PTR 记录 
手动 更 新 DNS。 

手动 配置 的 设备 的 物理 移动 ， 需 要 从 IP 清单 库 中 分 配 一 个 地 址 ， 并 当 它 在 
新 子 网 启动 后 手动 配置 新 IP 地 址 。 这 时， 旧 的 地 址 可 以 在 库存 中 释放 出 来 ， 尽 
管 临 时 的 “ 待 删除 ”状态 可 能 对 防止 相应 的 地 址 在 核实 可 用 性 前 被 过 早 地 重新 
分 配 是 有 用 的 。DNS 资源 记录 也 应 该 被 更 新 ; 以 反映 设备 的 新 的 耳 地 址 。 

在 所 有 这 些 情况 下 ， 了 P 库存 应 被 用 来 识别 可 用 的 目标 子 网 或 地 址 池 的 可 用 
地 址 和 释放 原子 网 上 的 地 址 ， 以 及 设备 的 移动 被 确认 后 相应 的 DNS 资源 记录 。 
任何 用 以 追踪 IP 地 址 的 设备 库存 系统 同样 应 该 被 更 新 。 

任何 影响 被 移动 设备 的 ACL 或 基于 地 址 的 过 滤 规 则 ， 也 需要 被 更 新 ;还 有 
任何 与 地 址 相关 的 网 络 管理 系统 的 轮 询 配置 需要 被 更 新 。 同 样 ， 任 何 “ 硬 编 码 ” 
IP 地 址 受 移动 影响 的 配置 文件 或 应 用 程序 也 必须 被 更 新 。 

次 辑 移 动 ” 人 逻辑 移动 更 具 挑 战 性 一 些 ， 因 为 它们 不 一 定 涉及 设备 的 重新 初 
始 化 。 对 于 DHCP 设备 ,包含 所 需 目 的 IP 地 址 的 地 址 池 应 在 (相同 或 不 同 的 ) 
DHCP 服务 器 上 进行 配置 。 当 前 地 址 池 的 租约 时 间 应 在 移动 的 时 间 之 前 结束 。 例 
如 ， 如 果 正 常 的 租约 时 间 为 1 周 ， 它 应 该 被 降低 到 的 设备 移动 的 一 周 内 的 1 天 和 
设备 移动 的 一 天 内 的 2 ~6 小 时 。 一 台 设 备 可 能 刚好 在 你 将 租约 时 间 变 为 天 之 前 
续签 了 一 份 为 期 1 周 的 租约 ， 所 以 该 租约 在 半 周 以 内 不 会 尝试 更 新 (或 基于 你 
的 DHCP T1 时 间 选 项 设置 ) 。 因 此 ， 如 果 你 名 义 上 的 租约 时 间 为 2 周 ， 请 在 计划 
移动 前 的 最 多 2 周 时 ， 缩 短 租约 时 间 。 在 移动 的 当天 ， 如 有 必要 ， 把 租约 时 间 
设置 为 最 短 的 32 时间， 这 样 所 有 设备 将 几乎 在 同一 时 间 移 动 。 如 果 同 时 移动 不 是 


”最 短 时 间 可 以 是 几 分 钟 或 几 小 时 ， 这 取决 于 网 络 流量 和 服务 器 性 能 方面 的 考虑 。 租 约 时 间 越 短 ， 
将 发 送 更 多 的 DHCP 报 文 ， 但 也 使 DHCP 客户 端的 移动 时 序 协 调 更 一 致 。 
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关键 的 ， 让 租约 时 间 分 布 在 几 个 小 时 上 ， 则 在 几 个 小 时 内 应 该 能 产生 一 个 完整 
的 移动 。 

在 这 种 情况 下 ， 如 果 可 能 ， 建 议 由 DHCP 服务 器 执行 DNS 更 新 ， 以 便 更 为 
接近 地 通过 地 址 的 变更 映射 出 DNS 信息 的 更 新 。 手 动 干预 一 个 “无 限 租用 的 ” 
IPv6 设备 可 能 是 必要 的 ， 除 非 它 在 拥有 无 限 的 租约 后 仍 符合 租约 更 新 政策 。 另 
一 种 选择 是 ， 如 果 客 户 端 支持 重新 配置 。 则 命令 DHCPv6 服务 器 发 送 重新 配置 信 
号 给 客户 端 ， 指 示 它 重新 开始 DHCPv6 的 过 程 ， 

手动 分 配 地 址 的 设备 的 移动 与 物理 移动 遵循 相同 的 过 程 。 一 组 目的 IP 地 址 
从 IP 库存 中 被 分 配 出 来 ， 且 每 个 新 的 IP 地 址 都 配置 在 设备 上 上。 一旦 经 过 确认 ， 
每 个 旧地 址 可 以 被 分 别 释放 。DNS 资源 记录 也 应 更 新 ， 以 反映 该 设备 的 新 的 IP 
地 址 。 

自动 配置 设备 的 逻辑 移动 ， 可 以 通过 配置 服务 于 相应 子 网 的 路 由 器 来 执行 ， 
以 降低 它 在 相 邻 路 由 器 发 现 过 程 中 宣布 的 优先 和 有 效 的 地 址 生存 期 值 。 当 用 一 
个 “正常 ”的 地 址 引入 新 的 前 级 ， 缩 短 这 些 来 自 待 移动 设备 的 地 址 前 级 的 定时 
器 值 ， 则 生存 期 将 使 自动 配置 的 设备 能 够 自动 执行 此 逻辑 移动 。 当 所 有 装置 被 
移动 且 原 前 缀 的 有 效 生命 期 期 满 时 ， 该 前 缀 可 以 被 删除 。 
9.2.4.2 FARZ) 

移动 子 网 可 能 涉及 两 种 结果 之 一 : 子 网 和 已 分 配 的 IP 地 址 移动 到 另 一 个 路 
由 器 接口 ;保存 当前 的 地 址 分 配 或 移动 到 另 一 个 路 由 器 或 接口 ， 需 要 新 的 子 网 
地 址 。 在 后 一 种 情况 下 会 包含 子 网 重 编 任 务 ， 因 其 也 导致 了 一 个 新 的 子 网 地 址 ， 
虽然 不 必 将 子 网 移动 到 另 一 个 路 由 器 接口 。 第 一 种 情况 需要 考虑 地 址 空间 在 层 
次 上 汇总 ， 但 大 体 由 路 由 器 配置 的 修改 和 验证 组 成 ， 这 些 配置 符合 地 址 计划 、 
受 影 响 的 安全 和 过 滤 政 策 的 更 新 和 网 络 监控 系统 ， 以 及 对 路 由 表 和 DHCP 中 继 
地 址 的 更 新 (如 有 必要 )。 

由 于 物理 移动 或 更 高 层次 的 重 编 产 生 的 子 网 移动 ,通常 需要 多 一 点 的 工作 
量 。 设 备 被 真实 移动 的 物理 移动 (如 当 一 个 办 公 室 被 移动 ) ， 是 具有 本 质 破 坏 性 
的 。 目 标 子 网 可 能 被 分 配 和 配置 在 目标 路 由 器 的 接口 上 ， 连 同上 述 与 预 留 静 态 
地 址 ， 更 新 DHCPADHCPv6、DNS、 防 火 墙 和 网 络 管理 配置 相关 的 其 他 任务 。 每 
个 被 移动 的 设备 接 入 时 ， 需 要 手动 分 配 新 的 地 址 和 (或 ) 从 地 址 池上 获得 一 个 
上 述 用 于 IP 地 址 移动 的 与 子 网 相关 的 DHCP/DHCPv6 租约 。 自 动 配置 的 设备 将 
检测 到 它们 通过 NDP 正在 连接 的 子 网 的 前 级 ， 并 应 相应 地 为 每 个 前 缀 自动 配置 
一 个 单 播 IPv6 地 址 。 人 逻辑 子 网 移动 或 重 编 同样 遵循 设备 的 逻辑 IP 地 址 移动 的 
过 程 。 

在 所 有 的 设备 已 从 旧 子 网 移动 到 新 子 网 后 ， 原 子 网 地 址 空间 可 能 会 伴随 着 
子 网 删除 过 程 被 释放 出 来 。 
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9.2.5 块 / 子 网 分 割 


分 割地 址 块 需要 从 给 定 的 源 块 中 创建 两 个 或 多 个 更 小 的 块 。 分 割 对 地 址 空 
间 的 释放 可 能 是 必要 的 ， 其 至 可 以 作为 一 种 地 址 空间 子 分 配 的 方法 。 在 前 一 种 
情况 下 ， 一 个 子 网 内 的 地 址 可 能 会 被 合并 到 子 网 前 半 部 分 ， 同 时 释放 后 半 部 分 
子 网 的 分 配 。 这 样 ， 块 分 裂 将 产生 一 个 被 占有 子 网 (前半 部 分 ) 和 一 个 空闲 子 
网 (后 半 部 分 )。 一 些 组 织 拥 有 已 分 配 的 区 域 块 ， 然 后 将 它们 分 割 后 分 配给 在 较 
低地 址 层 的 子 块 和 子 网 。 从 某 种 意义 上 说 ， 这 是 块 分 配 的 一 种 形式 。 

要 认识 到 DNS 反 向 区 域 分 裂 块 时 会 产生 影响 。 如 果 两 个 子 网 的 DNS 行政 机 
构 在 一 组 管理 员 下 保持 统一 ， 原 来 的 正 向 或 反 向 区 域 可 能 不 需要 修改 。 然 而 ， 
如 果 得 到 的 分 割 块 或 子 网 让 它 的 设备 在 DNS 中 由 不 同 的 授权 的 机 构 管 理 ， 则 原 
来 的 反 向 域 将 同样 需要 分 制 。 这 需要 建立 两 个 与 产生 的 分 裂 子 网 相对 应 的 反 向 
区 域 ， 并 通知 被 分 割 的 父 反 向 区 域 的 管理 者 ， 其 负责 将 反 向 区 域 树 妥善 委托 给 
合适 的 用 于 权威 信息 的 DNS 组 。 

分 制 块 不 需要 被 限制 为 仅 在 对 半分 裂 ， 把 一 个 /60 分 成 两 个 /61。 拆 分 可 以 
用 来 从 一 个 /60 中 开拓 出 一 个 /64， 虽 然 一 般 来 说 ， 使 用 的 子 网 分 配 过 程 来 执行 
也 许 会 更 好 。 这 样 的 分 裂 会 产生 所 需 的 /64， 以 及 由 一 个 /64、/63、/62 和 /61 
组 成 的 自由 空间 。 在 这 个 例子 中 ， 要 遵循 最 优 分 配 策略 保留 大 的 块 。 男 外 ， 可 
以 直接 将 一 个 /60 分 裂 成 16 个 /64， 其 中 包含 了 统一 分 配 的 政策 ， 而 不 是 需要 时 
“最 适合 ”的 分 配 策略 。 

总 之 , 分割 块 的 过 程 与 分 配 块 相似 。 被 分 割 的 块 被 依次 划分 ， 直 到 获得 所 
需 的 块 大 小 。 剩 余 的 空闲 块 或 者 被 保留 ， 或 者 也 被 分 割 至 所 需 块 的 大 小 ， 以 呈 
现 统一 的 块 分 割 。DNS 关于 反 向 区 域 树 和 行政 委托 的 含义 必须 加 以 考虑 。 还 有 ， 
请 记 住 每 个 分 割 产生 的 网 络 产生 一 个 额外 的 网 络 地 址 和 广播 地 址 。 


9.2.6 块 / 子 网 连接 


将 两 个 相 邻 的 同样 大 小 的 地 址 块 或 子 网 组 合 连接 成 一 个 单一 的 块 或 子 网 。 
例如 ， 块 2001: DB8: 0: 2: : /64 和 块 2001: DB8: 0: 3: : /64 可 以 连接 形成 块 
2001: DB8: 0: 2: :/63 ， 因 为 两 个 /64 共享 同一 个 63 位 的 前 级 。 请 注意 ， 如 果 试 图 
连接 块 2001: DB8:0: 1: : /64 和 块 2001: DB8: 0: 2::/64， 情况 则 并 非 如 此 ， 因 为 
这 不 是 一 个 有 效 的 连接 。 为 什么 想 要 连接 ? 因为 连接 能 使 较 大 的 块 聚合 ， 可 供 
未 来 分 配 。 稀 玻 分 配 使 得 增加 地 址 空间 容量 ， 而 无 需 增 长 路 由 表 。 在 本 书 第 5 
章 关 于 稀 玻 分 配 的 讨论 中 ， 可 以 看 到 一 个 这 样 的 例子 。 分 配 可 能 请 求 任意 大 小 
的 块 或 子 网 ， 因 此 聚合 块 空间 也 增加 了 在 需要 时 可 用 与 分 配 更 大 的 块 可 能 ， 这 
反 过 来 又 最 大 限度 地 减少 在 路 由 协议 中 需要 公告 的 网 络 数量 。 
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汇总 连接 块 ， 可 能 还 需要 一 个 DNS 反 向 区 域 的 更 新 ， 以 使 基础 设备 资源 记 
录 合并 成 “连接 的 ” 反 向 区 域 反 映 出 生成 的 统一 子 网 和 安全 过 渡 策 略 的 更 新 。 


9.2.7 DHCPv6 服务 器 配置 


DHCPv6 服务 器 配置 是 一 个 关键 的 地 址 管理 任务 ， 胜 于 地 址 池 的 创建 、 移 动 
和 删除 ， 虽 然 额 外 功能 的 范围 受 DHCPv6 服务 器 供应 商 的 能 力 限 制 的 。DHCPv6 
服务 器 配置 参数 中 关键 项 如 下 : 

© DHCPv6 的 前 缀 池 ， 负 责 用 于 分 配给 请 求 前 绥 委 派 的 路 由 器 的 IPv6 块 组 。 

e DHCPv6 地 址 池 ， 负责 地 址 范围 和 相关 DHCPv6 选项 ， 以 及 服务 于 动态 、 
自动 和 手动 的 基于 DUID 的 DHCPv6 客户 端的 服务 器 政策 。 

e 客户 端 类 ， 负 责 参数 的 匹配 值 (如 供应 商 类 标识 符 为 “Avaya4600”) 、 相 
关 的 允许 /拒绝 池 、DHCPv6 选项 和 服务 器 策略 。 

e 分 市 范围 的 高 可 用 性 参数 设置 ( DHCPv6 的 故障 转移 目前 IETF 内 部 正在 
研究 ) 。 

e 服务 器 活动 的 配置 ， 如 动态 DNS 更 新 和 其 他 的 服务 器 指令 与 参数 。 

实际 服务 器 的 配置 语法 和 接口 将 取决 于 服务 器 类 型 。 例 如 ，ISC DHCPv6 服 
务 需 可 以 通过 编辑 dhep. conf 文件 来 配置 ， 而 微软 DHCP 可 以 通过 使 用 Windows 
MMC 接口 进行 更 新 。 这 两 者 和 其 他 DHCP 供应 商 也 提供 命令 行 接口 或 API 来 执 
行 配置 更 新 。 关 于 此 类 和 其 他 产品 ， 请 查阅 你 的 供应 商 的 文档 。 

个 别 静 态 IPv6 地 址 分 配 需要 进行 记录 ， 以 确保 其 唯一 性 。 在 分 配 的 子 网 内 ， 
应 对 DHCPv6 地 址 池 进 行 跟踪 以 提供 一 个 子 网 内 地 址 分 配 的 整体 视图 ， 不 管 是 静 
态 还 是 动态 分 配 的 。 当 在 电子 表格 内 对 独立 DHCPv6 租约 的 跟踪 未 能 容易 地 执行 
时 ， 应 该 至 少 执行 对 电子 表格 或 数据 库 内 的 地 址 池 的 记录 。 随 着 时 间 的 推移 ， 
这 将 有 助 于 确保 唯一 地 址 的 分 配 。 

这 样 的 跟踪 也 是 有 必要 的 ， 以 便于 关联 给 定 主机 的 多 个 地 址 ， 如 双 协 议 栈 。 
这 种 综合 的 地 址 分 配 数据 存储 将 提供 卫 地 址 的 库存 的 已 知 程度 。 图 9-1 给 出 了 
TP 地 址 的 示例 子 网 库存 表 。 

请 注意 图 中 对 IPv4 地 址 为 10. 17. 2.5 的 保留 设备 的 双 栈 地 址 分 配 。IPv6 地 
址 由 子 网 前 级 和 一 个 直观 地 映射 到 相应 的 IPv4 地 址 的 接口 ID 连接 在 一 起 的 接口 
ID 连接 组 成 。 接 口 ID 并 不 是 IPv4 地 址 的 二 进 制 映像 ， 而 是 一 个 “可 视 化 的 ” 
映像 ， 以 便于 IPv4 地 址 能 够 通过 视觉 容易 地 区 分 出 来 。 这 种 地 址 分 配方 法 无 疑 
帮助 了 日 志 或 管理 系统 中 检测 到 的 设备 地 址 映射 到 知名 或 熟悉 的 IPv4 地 址 ， 但 
同时 也 暴露 了 一 个 潜在 的 安全 漏洞 。 该 漏洞 涉及 允许 攻击 者 通过 防御 能 力 可 能 
更 弱 的 IPv6 地 址 锁定 一 个 给 定 的 已 知 IPv4 地 址 的 设备 。 
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欧洲 -西方 -罗马 -VolP 子 网 


10.17.2.0/24 2001 :db8:4af0:8812::/64 


IPv6 地 址 


设备 类 型 


分 配方 法 


硬件 地 址 


2001:db8:4af0:8812:212:65ff:-fe91: lab 1|roma-ops02 


2001:db8:4af0:8812:ca00:21ff:fe07:39fI|roma-core0 1 网 关 / 路 由 器 Manual C8-00-21-07-39-F1 
2001:db8:4af0:8812:ca00:22fF fefe:a901|roma-core02 网 关 / 路 由 器 Manual C8-00-22-FE-A9-01 
2001:db8:4af0:8812:212:65ff.fe91:27 |roma-ops01 交换 机 Manual 00-12-65-91-00-27 


Manual 


00-12-65-91-1E-B1 


2001:db8:4af0:8812:10:17:2:5 
2001:db8:4af0:8812:10:17:2:6 


Reserved 
Reserved 


2001:db8:4af0:8812:10:17:2:7 
2001 :db8:4af0:8812:476a:1ff:fe00:d98 |romops-print01 


Reserved 


45-6A-01-00-0D-98 


2001 :db8:4af0:8812:476a: Iff:fe20:3df0 |romops-print02 FT ENA M-DHCP 45-6A-01-20-3D-F0 
10.17.2.10 2001:db8:4af0:8812:476a: Iff:fe01:65d1 |romops-print03 TEDA M-DHCP 45-6A-01-01-65-D1 
10.17.2.11 2001:db8:4af0:8812:476a: Iff:fe94:309e |romops-print04 打印 机 M-DHCP 45-6A-01-94-30-9E 
10.17.2.12 2001:db8:4af0:8812:476a: lff:fe89:a20¢ |romops-print05 FT ENA M-DHCP 45-6A-01-89-A2-0C 


2001:db8:4af0:8812:476a: Lff:fe0a:a98b |romops-print06 


M-DHCP 


45-6A-01-0A-A9-8B 


2001:db8:4af0:8812:476a: Iff:fe49:1fe _|romops-print07 打印 机 M-DHCP 45-6A-01-49-01-FE 
2001 :db8:4af0:8812:10d::78£3 opsfile41 民 务 器 Manual 
2001:db8:4af0:8812:8021:776:d:lcel opsfile42 民 务 器 Manual 
2001:db8:4af0:8812:1107:cal:50ce:7b__|opsfile43 RA Manual 
2001:db8:4af0:8812:8¢:320:dec 1:90a.a8 | opsfile44 RAE Manual 
2001:db8:4af0:8812::8¢10:d878 opsfile45 Eig Manual 
2001:db8:4af0:8812:4:7dad:910:21a2__ jopsfile46 Rae Manual 
10.17,2.21-10.17.2.50 Reserved for net-servers 
10.17.2.51-10.17.2.254 VoIP 电话 D-DHCP 
2001:db8:4af0:8812:ffff:/80 DHCPv6 pool 


图 9-1 


9.2.8 DNS 配置 


IP 地 址 的 示例 子 网 库存 表 


如 DHCP Hki AF, DNS 的 配置 是 一 个 重要 的 网 络 管理 功能 并 与 地 址 分 配 、 


指派 、 移 动 和 删除 紧 紧 地 联系 在 一 起 。 这 些 前 面 所 讨论 的 任务 


LEA 
EA 


Ia] DNS 域 、 


资源 记录 ， 可 能 还 有 服务 器 的 配置 参数 。DNS 配置 参数 的 关键 项 如 下 : 
e 域名 ， 在 DNS 上 添加 、 修 改 或 删除 域 /区 域 。 
e 资源 记录 ， 添 加 、 修 改 或 删除 资源 记录 ， 如 特别 的 AAAA 和 PTR 类 型 。 


e 服务 器 、 视 图 和 区 域 配置 ， 设 置 和 修改 选项 参数 


置 、DNS64 配置 等 。 


EY 
~ 


响 着 


ACL, AR a Ac 


实际 DNS 的 配置 的 语法 将 取决 于 服务 需 类 型 。ISC BIND JIRA at AT VAG at Si 
辑 服务 器 上 的 named. conf 文件 和 相关 的 区 域 文件 进行 配置 。 支 持 DDNS 的 DNS, 
可 能 也 以 这 种 方式 支持 资源 记录 的 更 新 。 对 nsupdate 或 类 似 的 DDNS 机 制 的 使 


FA, 提供 了 一 种 手段 来 执行 增加 的 更 新 ， 而 不 必 手 动 编辑 区 域 文 本 文件 和 重新 
加 载 各 自 的 区 域 ， 如 对 mde 的 使 用 。DDNS 更 新 只 适用 于 资源 记录 的 添加 、 更 
改 和 删除 ， 因 此 任何 区 域 或 服务 器 配置 参数 的 变更 或 区 域 的 增 


本 文件 的 编辑 ， 重 载 named. conf 文件 和 (或 ) 


ni, FZ 
LOS 


响 的 区 域 。 


出 ， 仍 然 需要 文 


考虑 到 IP 地 址 与 反 向 域 、 主 机 名 和 其 他 主机 的 信息 之 间 的 直接 关系 ， 以 及 


y 


DNS 能 通 


过 名 称 导 航 而 不 是 IPv6 地 址 ， 所 以 显然 DNS 是 管理 IPv6 网 络 的 一 个 关 


键 因 素 。DNS 提供 了 主机 名 和 IP 地 址 之 间 的 重要 联系 ， 使 得 IP 应 用 的 使 用 更 为 
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从 IP 地 址 管理 的 角度 来 看 ， 显 然 反 向 DNS 域 与 IP 地 址 块 和 子 网 的 分 配 有 
直接 关联 。 这 些 域 直接 来 自 其 对 应 的 IP 地 址 。 

为 了 与 集中 的 IP 地址 库存 的 理念 保持 一 致 ， 应 对 与 每 个 IP 地 址 相关 的 主机 
名 和 资源 记录 进行 跟踪 。 参 考 图 9-1 所 示 的 IP 清单 电子 表格 ， 如 果 意 大 利 罗马 
办 事 处 管理 其 自己 的 DNS 区 域 ， 其 管理 员 需 要 为 rome. ipamworldwide. com (前 
向 域 ) 2.17. 10. in-addr. arpa 和 2. 1.8. 8.0. f. a. 4. 8. b. d. O. 1.0.0. 2. ip6. arpa， 管 
理 区 域 文 件 。 在 这 些 区 域 文件 中 ， 资 源 记 录 条 目 需要 维护 。 例 如 ， 对 于 IPv4 地 
址 为 10. 17. 2. 15 的 主机 opsfile41， 必 须 生 成 以 下 区 域 文件 条 目 : 


e rome. ipamworldwied. com 的 区 域 


opsfile41 IN A 10. 17. 2. 15 
opsfile41 IN AAAA 2001; db8: 4af0; 8812; 10d:: 78f3 


eè 2.17. 10. in- addr. arpa 的 区 域 


15 IN PTR opsfile41. rome. ipamworldwide. com. 


e 2. 1. 8. 8. 0. f. a. 4. 8. b. d. O. 1.0.0.2. ip6. arpa 的 区 域 


3. f. 8. 7. 0. 0. 0. 0. 0. 0. 0.0 IN PTR opsfile41. rome. 


d. 0. 1. 0 ipamworldwide. com. 


需要 确保 把 这 个 库存 信息 正确 抄写 到 DNS 配置 中 。 从 这 个 “数据 库 ”， 可 
以 得 出 对 应 到 每 个 主机 的 A/AAAA 记录 和 PTR 记录 。 可 以 扩大 在 电子 表格 中 的 
列 跟踪 与 给 定 主 机 关联 的 额外 资源 ， 如 CNAME, MX 记录 等 。 在 这 个 例子 中 ， 
正在 为 静态 定义 的 主机 输入 DNS 信息 ， 而 这 个 过 程 应 该 在 子 网 的 每 台 这 样 的 主 
机 上 重复 进行 。 从 DHCP/DHCPv6 地 址 池 获 得 租约 的 主机 或 自动 配置 设备 可 以 
通过 动态 DNS 更 新 其 主机 名 信息 。 


9.2.9 WARE 


服务 供应 商 在 你 的 网 络 中 提供 了 按 供应 商 分 类 汇总 的 IPv6 地 址 空间 供 使 用 ， 
在 服务 供应 商 发 生变 化 的 情况 下 ，IPv6 前 级 必然 会 发 生变 化 。RFC 4192 (BÆ 
书 参考 文献 [99 ] ) 描述 了 IPv6 网 络 重新 编号 的 过 程 。 为 了 最 大 限度 地 减少 中 
断 ， 当 即将 被 弃 用 的 旧 前 缀 仍 是 可 操作 的 时 候 ， 就 需要 部 署 新 的 前 级 。 这 就 需 
要 把 新 前 绥 依 次 子 网 化 到 子 网 层 ， 使 单个 设备 能 够 自动 配置 ， 或 能 够 在 移 除 旧 
前 缀 和 保留 连接 之 前 ， 从 新 前 缀 中 手动 分 配 IPv6 地 址 。 这 个 过 程 类 似 最 初 在 
IPv4 网 络 上 部 署 IPv6。 相 关 步 又 包括 相应 地 根据 子 网 信息 配置 路 由 器 接口 、 传 
播 新 前 级 的 路 由 更 新 、 配 置 安全 过 滤器 和 ACL 以 适应 新 的 前 级 ， 以 及 配置 各 自 
的 反 回 区 域 的 DNS。 此 外 ， 在 应 用 程序 、 配 置 文件 、DHCP 选项 的 参数 值 和 其 他 
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任何 地 方 中 的 IPv6 地 址 ， 各 自 都 需要 更 新 ， 以 反映 新 的 前 级 。 一 旦 新 的 前 缀 已 
被 部 署 ， 网 络 有 效 地 利用 (至少) 两 个 前 级 。 在 移动 子 网 和 设备 时 ， 旧 前 级 上 
的 地 址 应 该 随 着 时 间 的 推移 衰减 ， 如 通过 缩短 DHCP 租约 时 间 和 减少 公告 的 路 
由 器 首选 和 有 效 的 寿命 值 。 随 着 设备 转变 到 新 的 前 级 ， 旧 前 绥 的 地 址 变 成 空闲 
了 ， 然 后 释放 子 网 ， 再 到 块 ， 最 终 上 升 到 整个 前 级 本 身 。 


9.3 故障 管理 


故障 管理 不 仅 包括 故障 检测 ， 还 有 告警 通知 、 故 障 隔 离 功 能 ， 故 障 跟踪 和 
解决 问题 的 过 程 。 对 IPv6 网 络 元 素 和 服务 器 针对 故障 与 事件 进行 监测 ， 能 够 以 
一 种 积极 主动 的 手段 最 大 限度 地 减少 服务 中 断 ， 并 作为 当前 IPv4 监测 过 程 的 一 
个 扩展 。 正 如 本 书 第 7 章 中 讨论 的 ，IPw6 的 理想 需求 是 目前 监测 的 扩展 、 支 持 
IPv6 传输 的 故障 管理 工具 、SNMP MIB 、 日 志 信息 和 相关 的 健康 和 状态 数据 ， 而 
不 是 新 系统 的 使 用 。 


9.3.1 故障 监测 


根据 部 署 的 网 络 元 素 和 服务 器 所 支持 的 功能 不 同 ， 故 障 检测 也 可 以 使 用 各 
种 方法 进行 。 这 些 方法 包括 专 有 的 轮 询 或 通知 、 系 统 日 志 扫 描 和 (或 ) 转发 、 
SNMP 轮 询 ， 以 及 基于 SNMP 的 网 络 管理 系统 的 陷阱 检测 。 

除了 监测 由 设备 报告 的 网 络 设备 的 状态 ， 它 还 对 监测 这 些 设备 提供 的 服务 
十 分 有 用 ， 特 别 是 关键 的 DHCP、DNS、NTP 和 其 他 的 一 些 服 务 。 监 测 该 服务 只 
需要 发 送 相应 协议 的 消息 ， 并 在 合理 的 响应 时 间 内 收 到 并 确认 一 个 正确 的 响应 。 
例如 ， 定 期 向 服务 器 发 出 DNS 查询 ， 将 能 检测 DNS 的 服务 是 否 正在 运行 ， 并 且 
能 够 履行 其 解析 DNS 查询 的 职责 。 

监控 网 络 设备 和 通信 和 链 路 是 普遍 网 络 监控 的 一 种 常见 的 做 法 ， 而 且 能 洞察 
影响 客户 访问 核心 网 络 服务 器 的 能 力 的 中 断 。 这 条 附加 的 信息 对 解决 某 个 具体 
问题 或 故障 是 非常 有 用 的 。 故 障 相关 性 是 从 多 个 网 络 元素 或 管理 系统 收 到 的 各 
个 故障 的 分 析 ， 以 帮助 找 出 一 组 故障 的 根本 原因 。 例 如 ， 对 来 自 第 2 层 交 换 机 、 
路 由 器 和 广域网 接 人 设备 的 故障 进行 集中 分 析 可 知 ， 这 三 种 故障 是 相关 的 ， 而 
且 最 可 能 的 根本 原因 是 链 路 中 断 。 

故障 相关 性 是 大 型 网 络 管理 系统 的 一 个 共同 特点 。 无 论 故 障 相 关 是 由 网 络 
管理 系统 自动 执行 或 手动 通过 比较 来 自 多 个 系统 的 信息 ， 这 个 过 程 将 暴露 出 更 
为 广泛 的 故障 分 析 的 数据 集 ， 进 而 为 给 定 的 服务 器 、 链 接 或 网 络 元 素 隔 离 故障 。 
作为 一 个 双 栈 设备 ， 从 一 个 单独 的 设备 的 多 个 IP 地 址 的 轮 询 响应 的 简单 故障 相 
关 性 分 析 ， 可 以 帮助 识别 潜在 的 协议 和 路 由 问题 。 
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9.3.2 故障 排除 和 故障 解析 

IPv6 引入 了 一 个 用 于 故障 排除 的 附加 层 ， 这 是 一 个 双 刃 剑 。 这 为 IPv6 相关 
问题 的 识别 和 解决 增加 了 一 层 复 杂 性 ， 但 同时 也 为 数据 收集 和 诊断 提供 了 一 个 
接 入 到 设备 的 辅助 协议 。 


9.4 计 费 管理 


计 费 管理 的 基本 目的 是 为 了 保持 每 个 人 都 诚实 。 那 些 已 分 配 的 地 址 仍然 在 
使 用 吗 ? 有 没有 哪些 没 被 分 配 的 地 址 正在 使 用 ? 新 的 子 网 在 路 由 器 上 是 否 进行 
配置 了 ? 对 于 这 类 问题 ， 计 费 管理 要 能 够 验证 成 功 的 配置 ， 以 及 对 IP 网 络 和 地 
址 计划 的 整体 遵守 。 计 费 管理 功能 的 技术 包括 卫 地 址 、 路 由 器 子 网 、 交 换 机 端 
口 映 射 、 设 备 接口 信息 、DNS 资源 记录 和 DHCP 租约 文件 的 发 掘 。 

为 了 把 这 些 信 息 与 IP 清单 的 “记录 计划 进行 比较 ”， 分 析 发 现 的 信息 是 必 
要 的 。 这 种 差异 的 报告 和 比较 是 比较 困难 的 工作 ， 但 为 库存 的 准确 性 提供 了 一 
定 程度 的 保证 。 如 果 没 有 这 样 的 功能 ， 恶 意 用 户 可 以 访问 免费 服务 或 以 其 他 方 
式 渗透 网 络 。 此 外 ， 尚 未 实现 的 计划 网 络 的 变化 可 能 会 导致 下 游 过 程 的 延误 和 
内 部 或 外 部 SLA 的 配置 时 间 间 隔 上 的 冲突 。 


9.4.1 库存 保证 


到 目前 为 止 ， 已 经 介绍 的 每 个 常见 的 网 络 管理 任务 都 依赖 准确 的 设备 清单 ， 
以 使 子 网 、 设 备 、IP 地 址 及 相应 的 路 由 与 过 滤 配 置 的 分 配 、 删 除 和 移动 得 以 实 
现 。 准 确 性 ， 对 于 这 些 地 址 管理 任务 是 绝对 必要 的 。 但 准确 的 库存 对 一 般 的 故 
障 排除 也 是 必 不 可 少 的 。 一 个 远程 站 点 是 否 应 该 由 于 网 络 中 断 而 设置 为 不 可 达 ? 
这 可 能 有 必要 为 站 点 上 的 设备 识别 IP 地 址 、 资 产 信息 或 其 他 与 网 络 相关 的 数据 。 
在 可 能 最 需要 这 样 的 信息 或 当 它 不 能 直接 从 网 络 获得 的 时 候 ， 只 有 维护 一 个 准 
确 的 网 络 清单 时 ， 这 样 的 信息 才能 被 访问 。 

本 节 将 审查 你 可 以 采取 的 步 又， 以 确保 你 的 网 络 库存 的 准确 性 。 这 包括 控 
制 谁 可 以 对 特定 的 IP 和 设备 信息 、 实 际 网 络 的 发 现 、 为 库存 核对 实际 情况 及 地 
址 空间 的 最 终 回收 做 出 特定 的 改变 。 
9.4.1.1 变更 控制 和 管理 员 的 责任 

正如 在 审查 这 些 网 络 管理 任务 时 所 看 到 的 ， 网 络 和 IP 地 址 库存 的 变化 往往 
影响 其 他 网 络 元 素 ， 包 括 路 由 器 、 安 全 系统 、DHCP 服务 器 和 DNS。 如 果 不 同 的 
个 人 或 团队 管理 这 些 不 同 的 元 素 ， 最 好 定期 召开 一 个 计划 或 变更 控制 的 会 议 ， 
或 根据 需要 检查 并 安排 即将 到 来 的 寻 址 的 变化 的 计划 表 ， 以 保持 循环 的 变化 带 
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来 的 潜在 的 影响 。 

一 种 帮助 确保 网 络 库存 准确 的 方法 ， 是 限制 那些 在 网 络 拓 扑 结 构 和 IP 寻 址 
方案 方面 是 权威 的 并 有 敏锐 的 见解 的 人 对 库存 的 写 访问 。 使 用 一 个 单独 的 密码 
保护 的 电子 表格 ， 有 且 仅 有 一 个 网 络 管理 者 可 以 修改 ， 这 是 一 个 避免 P 库存 不 
慎 或 错误 的 更 改 的 一 个 方法 。 然 而 ， 即 使 是 中 等 规模 的 组 织 ， 这 种 方法 也 显得 
相当 笨拙 。 假 设 整个 网 络 的 库存 依赖 一 个 单一 的 个 体 ， 该 个 体 必须 夜以继日 地 
工作 ， 而 且 当 他 或 她 离开 组 织 时 ， 恢 复 对 库存 化 的 访问 可 能 是 非常 困难 的 ， 除 
非 提前 培养 继任 者 。 

多 个 同时 支持 管理 员 ， 是 市 场 上 绝 大 多 数 的 网 络 管理 系统 的 一 个 重要 特征 ， 
并 且 大 多 数 允 许 一 定 程 度 的 范围 控制 ， 因 此 特定 管理 员 只 能 在 特定 的 设备 或 部 
分 网 络 上 执行 某 些 特定 的 功能 。 请 确定 你 所 选择 的 系统 支持 管理 员 日 志 是 否 应 
该 需要 调查 在 系统 上 “ 谁 做 了 什么 ”。 

与 有 纪律 的 多 管理 员 受 审视 的 访问 网 络 库 存 同样 重要 的 ， 是 把 责任 制 、 任 
意 修改 委托 给 能 在 库存 范围 外 生成 的 P 地 址 分 配 、DNS 资源 记录 和 设备 配置 。 
例如 ， 手 动 配置 可 能 被 打 错 ， 子 网 可 能 被 配置 在 错误 的 路 由 器 接口 上 ， 还 有 客 
户 端 或 DHCP 对 DNS 的 更 新 都 可 能 导致 网 络 库存 偏离 现实 。 库 存 是 一 个 网 络 和 
地 址 规划 的 模型 ， 并 且 网 络 管理 任务 依赖 规划 的 准确 性 。 因 此 ， 额 外 的 “脉冲 
读数 ” 则 需要 从 网 络 本 身 的 获取 。 定 期 轮 询 和 比较 来 自 带 库存 的 网 络 的 实际 配 
置 ， 是 确保 库存 准确 的 关键 。 
9.4.1.2 网 络 发 现 

有 多 种 方法 可 用 来 收集 实际 的 网 络 数据 ， 从 ping 到 DNS 查找 ， 到 SNMP 轮 
i], PUT ping 能 够 检测 IP 地 址 的 占有 者 ， 并 提供 了 一 个 基本 的 方法 ， 以 确定 与 
IP 库存 相应 的 部 分 进行 比较 哪些 IP 地 址 正 被 使 用 。 虽 然 正 如 本 书 第 6 章 所 讨论 
的 ， 这 本 身 不 是 一 个 现实 的 发 现 方案 。ping6 命令 对 验证 一 个 给 定 目标 的 IPv6 连 
接 和 寻 址 非常 有 用 ， 但 要 注意 ， 有 些 路 由 器 或 防火 墙 可 能 会 丢弃 ping 命令 数据 
W, 或 者 甚至 有 些 设备 可 能 被 配置 为 忽略 ping 命令 操作 。 设 置 远程 ping 命令 的 
代理 来 执行 本 地 执行 ping 命令 可 以 帮助 避免 路 由 器 /防火 墙 穿越 问题 。 

Nmap 能 在 insecure. org/nmap 上 自由 访问 ， 是 一 个 非常 有 用 的 IP 发 现 工具 。 
它 结合 了 几 个 发 现 机 制 ， 以 便 从 连接 到 IP 网 络 的 设备 收集 各 种 信息 ， 包 括 链 路 
本 地 多 播 ping 命令 、 直 接 主 机 ping 命令 、DNS 查找 和 端口 扫描 。 在 遍历 子 网 时 ， 
Nmap 可 以 在 一 个 命令 中 执行 这 些 任务 ， 包 括 发 出 ping 命令 到 每 个 地 址 ， 在 DNS 
中 寻找 一 个 相应 的 PTR 记录 和 试图 连接 到 不 同 的 TCP 和 UDP 端口 来 识别 设备 的 
操作 系统 。ping 命令 的 结果 有 助 于 确定 IP 地 址 的 占用 ，DNS 查找 帮助 证 实 DNS 
的 IP 库存 的 主机 名 到 IP 地 址 的 映射 ， 此 外 端口 扫描 可 以 提供 关于 占用 每 个 人 P 
地 址 的 设备 类 型 的 额外 信息 。 
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SNMP 是 发 现 与 库存 相关 的 网 络 信息 的 另 一 个 手段 。 虽 然 大 多 数 终端 设备 ， 
如 笔记 本 电脑 或 VoIP 电话 本 身 不 启用 SNMP， 但 大 部 分 的 基础 设施 元 素 ， 如 路 
由 器 、 交 换 机 和 服务 器 则 会 启用 。 在 路 由 器 MIB 内 ， 令 人 特别 感 兴趣 的 是 接口 、 
IP 地 址 和 ARP 表 。 如 果 你 的 基础 设备 支持 MIB- 工 ， 则 在 不 同 的 产品 上 ， 这 些 表 
的 解释 应 该 是 一 致 的 。 只 是 要 注意 细微 的 差异 ， 甚 至 是 在 来 自 同一 供应 商 的 不 
同 产品 之 间 的 差异 。 通 过 这 些 表 中 的 信息 ， 能 够 收集 到 与 由 路 由 需 报 告 的 一 样 
的 接口 和 子 网 接口 信息 。 这 提供 了 对 一 般 库 存 的 有 用 的 验证 ， 但 也 可 以 在 分 配 ， 
移动 或 删除 的 子 网 和 设备 的 过 程 中 被 轮 询 。 

轮 询 路 由 器 的 邻居 发 现 表 ， 如 “邻居 ”SNMP 表 ， 可 以 提供 一 个 对 于 给 定 
的 子 网 的 明确 的 MAC 地 址 到 IPv6 地 址 的 映射 。 这 种 方法 提供 了 比 野 蛮 地 执行 
ping 命令 更 有 效 的 手段 来 进行 IPv6 主机 发 现 。 一 旦 使 用 这 些 信息 确定 一 列 网 络 
占有 者 ， 可 以 查询 每 台独 立 的 主机 更 多 的 信息 。 因 此 ， 详 细 的 IPv6 主机 发 现 一 
般 需 要 两 个 步骤 : 确定 子 网 中 的 一 组 主机 ， 然 后 遍历 每 个 主机 以 获得 更 多 的 
细节 。 
9.4.1.3 IP 库存 调整 

网 络 发 现 信息 提供 了 一 个 实际 的 用 以 检查 真实 的 子 网 分 配 、IP 地 址 的 分 配 ， 
以 及 相关 的 资源 记录 的 手段 。 通 过 将 发 现 的 信息 与 卫 库存 数据 库 进 行 比 较 ， 可 
以 确定 和 查 清 存在 的 差异 。 虽 然 这 个 比较 可 能 需要 “目测 ”库存 的 电子 表格 和 
发 现 的 输出 之 间 的 差异 ， 但 有 几 个 原因 可 以 证 明 这 样 的 努力 是 很 有 益 。 例 如 ， 
数据 库 差异 能 被 确定 可 能 是 基于 以 下 几 项 . 

e 不 正确 的 路 由 器 配置 。 不 正确 的 子 网 、 掩 码 、 路 由 需 的 接口 等 。 

e 不 完整 的 路 由 器 配置 。 计 划 的 变更 尚未 实现 。 

e 设备 的 可 达 性 问题 。 如 果 一 个 设备 应 该 在 一 个 给 定 的 JP 地址 ， 且 没有 接 
收 到 响应 。 这 可 能 是 由 于 一 个 设备 停 运 、 一 次 短暂 中 断 (重启 )、 地 址 重新 分 配 
或 网 络 不 可 达 。 

e 不 正确 的 IP 地址 分 配 。 手 动 配置 的 地 址 不 正确 或 设备 从 一 个 意 想 不 到 的 
地 址 池 获 取 DHCP 地 址 。 

e 实际 卫 地 址 分 配 。 在 一 些 分 散 的 情况 下 ， 子 网 上 设备 的 安装 程序 可 能 会 
选择 一 个 IP 地 址 ; 发 现 可 以 相应 地 用 来 更 新 IP 库存 。 

e 不 完整 的 IP 地 址 分 配 。 分 配 过 程 的 所 有 方面 ， 无 论 是 手动 或 是 DHCP， 
是 不 完整 的 。 这 个 问题 特别 适用 于 手动 分 配 的 地 址 ， 配 置 分 配 的 IP 地 址 和 更 新 
DNS 都 需要 人 员 的 努力 。 

© 流氓 设备 的 存在 。 一 个 未 知 的 或 未 经 授权 的 设备 已 获得 一 个 卫 地址 。 这 
提供 了 一 个 的 有 效 的 后 访问 控制 机 制 ， 以 补充 和 审计 网 络 访问 控制 解决 方案 。 

除了 检测 差异 ,分 析 发 现 信息 也 可 以 确认 分 发 或 配置 任务 的 完成 ， 以 及 删 
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除 任务 的 完成 。 在 移动 块 、 子 网 和 IP 地 址 时 ， 数 据 发 现 是 必 不 可 少 的 。 由 于 移 
动 需要 新 地 址 的 分 配 、 移 动 ， 然 后 是 旧地 址 的 删除 ， 所 以 在 删除 旧 IP 库存 的 地 
址 之 前 必须 有 移动 完成 的 确认 。 移 动 完 成 之 前 ， 这 些 地 址 不 应 该 被 删除 ， 所 以 
它们 不 会 在 不 知情 的 情况 下 ， 在 被 实际 放弃 之 前 被 分 配给 其 他 设备 或 子 网 。 

总 之 ， 网 络 发 现 对 保证 IP 库存 的 准确 性 是 必 不 可 少 的 。 这 也 有 利于 监测 配 
置 或 分 配 进度 和 时 间 段 ， 管 理 包含 多 个 子 任务 的 任务 完成 ， 以 及 检测 不 正确 的 
分 配 和 潜在 的 恶意 设备 。 


9.4.2 地 址 回收 


前 面 所 讨论 的 网 络 发 现 和 调整 的 另 一 个 好 处 ， 是 对 设备 可 达 性 问题 的 检测 。 
如 果 服 务 器 已 在 一 个 给 定 的 IP 地 址 上 设置 并 被 回应 ， 但 现在 不 再 如 此 ， 这 样 的 
事件 应 该 激发 进一步 的 调查 。 如 果 没 有 移动 或 淘汰 设备 的 计划 ， 或 者 没有 达到 
子 网 其 他 设备 上 的 网 络 问题 ， 那 么 该 设备 可 能 正经 历 一 个 中 断 ， 可 能 是 重新 启 
动 ， 或 者 可 能 已 被 移动 或 断 开 连接 ， 又 或 者 可 能 已 经 被 重新 分 配 地 址 。 如 果 服 
务 器 正在 提供 关键 的 服务 或 应 用 ， 你 应 该 通过 网 络 管理 系统 监视 其 状态 ， 该 系 
统 可 以 证 实 停 运 理 论 和 触发 纠正 措施 。 如 果 IP 地 址 在 下 一 次 尝试 被 发 现 ， 也 许 
它 只 是 简单 地 重新 启动 。 如 果 它 在 未 来 N 次 尝试 中 均 不 响应 ， 那 也 许 它 已 经 在 
物理 上 不 复 存 在 了 (或 至 少 是 不 通电 了 ) 。 不 幸 的 是 ， 人 们 并 不 总 是 告知 耳 规 
划 团 队 ， 设 备 已 被 删除 或 转移 其 他 地 方 ， 即 使 在 联系 最 紧密 的 组 织 中 。 一 个 迅 
速 通知 对 方 检 查 设备 状态 的 电话 可 能 确实 有 用 ， 但 要 确认 一 个 检验 设备 的 设备 
所 有 者 通常 是 困难 而 且 耗 时 的 。 

然而 ， 评 佑 设备 可 能 的 命运 的 关键 点 是 ， 它 可 能 需要 进行 多 个 发 现 尝 试 ， 
以 确定 设备 是 否 曾经 存在 而 现在 不 在 ， 或 只 是 遭遇 了 短暂 的 停电 或 断 开 ， 或 是 
被 借 走 了 而 现在 已 经 返还 。 跟 踪 一 系列 发 现 的 尝试 ， 可 能 会 很 困难 。 运 行 日 志 
或 电子 表格 可 以 用 来 记录 不 符 或 “失踪 ”的 PP 地 址 ， 当 它们 不 能 被 检测 到 的 时 
候 。 随 着 时 间 的 推移 查看 该 日 志 ， 可 能 有 助 于 确定 一 个 卫 地 址 是 否 被 记录 为 在 
使 用 但 实际 上 并 不 是 。 

在 检验 这 样 的 日 志 时 ， 如 果 给 定 P 地 址 直到 一 个 月 前 被 成 功 发 现 ， 当 它 在 
这 么 多 的 尝试 (如 30 次 ) 后 最 终 到 达 ， 那么 它 可 能 会 被 证 实 可 用 于 未 来 的 分 配 
或 可 收回 的 。 回 收 的 概念 需要 确定 一 些 IP 地 址 ， 这 些 IP 地 址 在 IP 库存 中 表示 
为 可 以 使 用 的 ， 但 在 现实 中 没有 使 用 ， 在 最 近 的 历史 记录 中 也 没有 被 使 用 。 分 
析 多 个 发 现 结果 提供 了 更 强大 的 样本 集 ， 回 收 决定 是 以 其 为 基础 的 ,本质 上 是 
把 设备 从 库存 中 删除 和 把 地 址 释放 以 分 配 到 另 一 台 设备 。 回 收 功能 虽然 是 一 个 
强大 的 IPv4 网 络 管理 的 功能 ， 但 它 在 手动 配置 的 IPv6 地 址 之 外 的 价值 有 限 。 

大 多 数 设备 很 可 能 会 使 用 带 隐 私 扩展 的 DHCPv6 或 SLAAC。 除 了 为 从 IP JE 
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存 删除 设备 提供 的 强大 确认 ， 回 收 可 能 也 同样 被 应 用 于 子 网 。 当 移动 或 删除 一 
个 子 网 时 ， 通 常 建议 验证 所 有 IP 地 址 占有 者 是 否 已 被 删除 ， 且 不 再 使 用 子 网 2 
的 IP 地址 。 分 析 来 自 一 个 给 定 的 子 网 上 的 所 有 地 址 的 发 现 结果 ， 可 以 保证 子 网 
能 被 删除 。 但 是 类 似 IP 地 址 回收 ， 多 个 样本 集 提供 对 于 可 回收 处 置 的 更 强大 的 
确认 。 只 要 记 住 ， 你 很 少 会 在 一 个 子 网 上 看 到 零 响应 ， 至 少 当 它 还 配置 在 一 个 
路 由 器 接口 上 时 ， 所 以 你 要 检查 忽略 了 路 由 器 、 交 换 机 或 其 他 的 设备 类 型 的 连 
续 的 发 现 结 


9.5 性 能 管理 


性 能 管理 涉及 监控 网 络 和 重要 网 络 元 素 的 性 能 。 跟 踪 关 键 构 件 的 硬件 的 统 
计数 据 ， 如 CPU 利用 率 、 内 存 、 人 磁盘 和 网 络 接口 的 输入 /输出 (10O)， 是 非常 
有 用 的 。 这 种 监测 实现 了 对 硬件 管理 运行 在 设备 上 的 服务 的 能 力 的 追踪 。 趋 势 
分 析 在 这 方面 及 对 未 来 的 硬件 采购 的 主动 规划 是 有 益 的 ， 使 得 可 以 实现 更 多 的 
服务 器 之 间 的 负载 分 配 。 


9.5.1 服务 监控 


监测 正常 运行 时 间 和 硬件 统计 对 维持 高 质量 的 核心 服务 至 关 重 要 ， 但 你 可 
能 还 需要 监控 这 些 设备 的 协议 功能 。 例 如 ， 监 控 DNS 的 服务 可 以 帮助 保证 足够 
的 DNS 能 力 以 满足 名 称 解析 的 需求 ， 并 帮助 识别 任何 异常 情况 。 从 客户 端的 角 
度 测量 去 验证 应 用 程序 的 功能 ， 需 要 定期 发 布 DNS、NTP 查询 或 DHCP 请 求 报 ， 
并 测量 收 到 一 个 适当 的 响应 9 需要 的 响应 时 间 。 此 应 用 程序 测试 可 能 来 源 于 部 署 
在 不 同 地 点 的 服务 探测 仪 ， 以 产生 这 些 “ 综 合 交易 ”， 并 测量 和 存储 响应 时 间 结 
果 。 分 析 来 自 不 同 探查 的 历史 数据 可 以 提供 敏锐 的 视角 ， 洞 察 到 DNS/ DHCP/ 
NTP 服务 和 网 络 性 能 。 
9.5.2 应 用 性 能 管理 

虽然 服务 通过 如 网 络 地 址 分 配 和 名 称 解析 等 数据 通路 之 外 的 功能 支撑 起 网 
络 ， 带 内 基础 设施 的 监测 对 整个 网 络 的 运行 状况 和 性 能 是 否 能 维持 在 良好 状态 
同样 是 至 关 重 要 的 。 这 不 仅 包括 对 基础 设施 设备 的 健康 状态 和 性 能 状态 的 监控 ， 
如 交换 机 、 路 由 器 和 负载 平衡 器 ， 还 包括 在 你 的 网 络 中 “流动 ”的 应 用 的 健康 


O 忽略 路 由 器 的 卫 地 址 占用 ， 因 为 它 通常 会 在 子 网 上 识别 自身 。 
O ”故障 管理 部 分 中 提 到 ， 在 没有 响应 的 情况 下 ， 可 能 表明 一 个 服务 中 断 ， 且 当 它 持续 存在 时 ， 应 该 
对 其 进行 调查 。 
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和 性 能 状态 的 监控 。 通 过 跨 网 络 访问 的 应 用 支撑 起 用 户 体验 的 视图 ， 使 得 问题 
的 主动 检测 、 更 为 简单 的 诊断 和 所 报告 问题 的 解决 得 以 实现 。 

添加 IPv6 到 网 络 不 一 定 影响 应 用 的 性 能 。 不 过 ， 在 网 络 中 使 用 隧道 或 转换 
可 能 会 妨碍 用 户 体 验 ， 尤 其 是 在 高 容量 段 。 在 进行 生产 部 署 之 前 ， 先 搁置 测试 
阶段 的 资源 ， 尝 试 先 描绘 计划 的 隧道 、 翻 译 或 其 至 双 协 议 栈 的 潜在 性 能 有 影响。 
这 将 帮助 确定 哪 种 方法 可 能 最 好 地 满足 你 的 网 络 用 户 的 需求 ， 也 有 利于 建立 一 
个 知识 库 ， 用 于 解决 在 可 能 的 解决 路 径 上 出 现 的 潜在 性 能 问题 。 


9.5.3 审计 和 报告 


大 多 数 管理 系统 一 般 提供 一 定 程 度 的 关于 “ 谁 做 了 什么 ”的 审计 和 不 同 层 
次 的 报告 。 这 些 可 能 只 是 很 容易 被 归 类 在 计 费 管理 的 功能 ， 使 管理 员 能 够 跟踪 
和 排查 活动 并 以 报告 格式 表达 状态 信息 。 卫 地 址 使 用 情况 的 审计 ， 即 谁 在 特定 
的 时 间 点 拥有 给 定 PP 地址， 对 于 解决 网 络 问题 或 调查 潜在 的 非法 活动 ， 是 很 有 
价值 的 信息 。 同 样 ， 如 果 你 正 试图 跟踪 一 个 给 定 设备 的 IP 地 址 占用 的 历史 ， 由 
硬件 地 址 进行 报告 也 是 有 利 的 。 

在 没有 网 络 管理 系统 的 情况 下 ， 执 行 这 样 的 审计 可 能 是 很 困难 的 ， 除 非 是 
在 最 小 的 网 络 中 。 处 理 服务 器 和 基础 设施 与 日 俱 增 的 日 志和 和 警报 的 迭代 转 储 是 
很 有 必要 的 。 此 过 程 使 为 了 故障 排除 、 变 更 控制 和 审计 而 进行 的 配置 状态 和 性 
能 的 跟踪 得 以 实现 。 

对 IP 地 址 规划 感 兴 趣 的 通用 报告 包括 以 下 内 容 ， 虽然 你 的 系统 可 能 提供 不 
同 的 或 额外 的 报告 。 

© 网 络 资产 报告 。 网 络 元 件 和 服务 的 逐 项 报告 ， 以 及 配置 的 摘要 信息 。 

o 地 址 分 配 报 告 。 当 前 快照 和 /或 历史 记录 中 由 子 网 或 块 分 配 的 地 址 的 摘要 
言 息 。 

e 地 址 差异 报告 。IP 库存 与 发 现 的 IP 地 址 信息 之 间 差 异 的 重点 。 

© 服务 性 能 报告 。 网 络 服务 协议 消息 按 类 型 的 摘要 和 详细 信息 ， 以 及 (或 
者 ) 客户 端 与 服务 器 的 关键 指标 摘要 。 

e 应 用 性 能 报告 。 应 用 程序 的 响应 时 间 和 负载 的 摘要 和 详细 信息 ， 以 及 应 用 
程序 服务 此 的 关键 指标 摘要 。 

e 审计 报告 。 管 理 员 通过 子 网 、 设 备 、 硬 件 地 址 、 路 由 器 及 服务 器 的 活动 。 


9.6 安全 管理 


本 书 第 6 章 主要 介绍 了 安全 策略 ， 这 些 策略 应 该 考虑 在 你 的 IPv4/IPv6 网 络 
中 实施 。 一 旦 投入 使 用 ， 防 火 墙 和 其 他 安全 系统 必须 进行 监测 ， 以 检测 出 可 能 
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的 攻击 。 监 测 过 滤 的 数据 报 能 够 识别 使 用 未 提供 服务 的 攻击 或 尝试 ， 如 移动 
IPv6。 回 应 最 终 用 户 对 于 远程 访问 的 投诉 ， 可 能 需要 某 些 政策 的 松动 ， 虽 然 经 过 
这 样 的 变化 ， 但 仍 需要 密切 监测 以 发 现 利用 新 机 会 的 可 能 攻击 者 。 如 果 你 有 定 
期 的 安全 审查 ， 与 IPv6 相关 的 结果 和 分 析 需 要 被 添加 到 议事 日 程 中 。 


9.7 灾难 恢复 /业务 连续 性 


业务 连续 性 实践 努力 在 面 对 重 大 故障 时 维持 组 织 的 运转 。 重 大 故障 或 “ 灾 
难 ”， 意 味 着 故障 的 绝对 规模 超出 了 少量 服务 器 或 网 络 设 备 。 必 须 提 前 记录 自动 
和 手动 步骤 以 重新 配置 或 重新 调配 资源 ， 从 而 维持 网 络 和 应 用 程序 (或 至 少 是 
重要 的 服务 和 应 用 程序 ) 的 运行 。 核 心 网 络 元 素 和 服务 应 当 部 署 在 元 余 配 置 中 ， 
从 而 在 路 由 器 、 服 务 器 、 应 用 程序 或 链 路 中 断 的 情况 下 提供 网 络 连 续 性 。 

网 络 业 务 的 连续 性 ， 可 能 需要 部 署 额外 的 网 络 元 素 、 管 理 系统 和 数据 库 。 
多 个 活动 数据 库 或 主 用 /备用 配置 的 部 署 将 取决 于 你 为 每 个 组 件 所 选择 的 供应 
商 。 供 应 商 要 实现 多 种 方法 来 方便 元 余 ， 如 全 数据 库 复 制 和 转移 、 需 要 某 种 程 
度 的 网 络 分 区 的 多 主 数据 库 ， 以 及 使 用 存储 区 域 网 络 、SQL BK LDAP 复制 能 力 的 
数据 库 复制 技术 的 部 署 。 需 要 执行 灾难 恢复 的 操作 任务 同样 因 每 个 供应 商 的 不 
同 而 有 所 差异 。 


第 10 2 IPv6 和 因特网 展望 


从 20 世纪 90 年 代 最 早 商 业 化 开始 ， 因 特 网 已 经 取得 了 极 大 的 成 功 。 因 特 网 
协议 被 证 明 是 可 升级 的 、 健 壮 的 、 可 扩展 的 ， 这 也 是 它 的 发 明 者 有 先 见 之 明 的 
体现 。 而 且 它 的 成 功 之 处 还 不 止 于 此 。 正 如 本 书 第 1 章 讨 论 的 那样 ， 在 过 去 的 
十 年 中 ， 这 方面 世界 年 复合 增长 率 (Compound Average Growth Rate, CAGR) 的 
平均 值 是 18% 。 而 且 发 展 中 国家 在 无 线 通 信 基 础 设施 上 的 投资 特别 能 促进 互联 
网 需求 。 

因特网 这 样 的 成 功 带 来 的 结果 是 耗 尽 用 于 因特网 通信 的 IP 地 址 。 如 果 还 想 
因特网 这 样 持续 增长 ， 唯 一 的 办 法 是 采用 IPv6。 还 好 ，IPv6 技术 已 经 存在 十 多 
年 了 ， 并 且 已 经 相对 成 熟 ， 而 且 ， 很 多 不 同 的 供应 商 和 通信 设备 都 支持 这 个 协 
XT. ÆA T IPv6 的 部 署 以 后 ， 现 在 的 因特网 是 一 个 混合 IPv4- IPv6 的 网 络 ， 而 
且 IPv6 用 户 和 IPv6 流量 将 会 持续 增长 。IPv6 是 唯一 的 可 以 满足 目前 持续 增长 的 
因特网 需求 的 ， 而 那些 希望 和 这 些 持续 增长 的 IPv6 用 户 们 通信 的 组 织 必 须要 部 
署 IPv6。 


10.1 促成 技术 的 因素 


能 为 因特网 接 入 新 用 户 提 供 地 址 能 力 支 持 ， 是 IPv6 的 一 个 重要 优势 。 但 是 
IPv6 还 有 一 些 新 的 特征 ， 而 且 这 些 特 征 可 以 促进 因特网 应 用 的 新 思维 和 因特网 
演化 。 这 中 间 最 重要 的 就 是 SLAAC 和 对 移动 性 支持 的 提高 。 和 IPv6 一 起 ， 以 下 
这 些 技术 的 提升 为 人 和 物 与 因特网 的 联系 提供 了 一 个 好 的 手段 : 

e IPv6， 特 别 是 SLAAC 和 移动 性 。 

© 计算 设备 的 提升 ， 特 别 是 小 型 化 、 多 媒体 能 力 和 计算 能 力 提升 及 费用 上 的 
下 降 。 

e 节约 电 、 符 合 时 势 、 安 全 和 空气 传播 高 效 的 无 线 通 信 协 议 。 

o 可 以 处 理 大 量 的 输入 和 大 量 传 感 需 的 管理 软件 为 自动 化 的 操作 或 人 类 消费 
而 过 滤 和 存储 数据 。 

这 些 技术 的 改进 将 会 不 断 制 造 出 更 小 、 更 节能 的 智能 手机 、 平 板 电 脑 和 别 
的 便携 式 用 户 设备 。 这 些 技术 也 会 帮助 实现 因特网 与 “ 物 ” 的 连通 。 今 天 一 个 
主要 的 人 研究 课题 是 关于 未 来 “ 物 联网 (Internet of Things, IoT)” 的 探索 。IoT 由 
各 种 设备 和 传感器 组 成 ， 这 些 设备 和 传感器 从 人 人、 地方 和 事物 上 收集 信息 并 进 


172 IPv6 部 署 和 管理 


行 聚合 、 处 理 和 报告 。 

在 任何 地 方 、 任 何 时 间 能 和 任何 人 、 任 何 物 通信 的 能 力 ， 给 因特网 用 户 带 
来 的 是 更 好 的 监控 能 力 和 更 有 效 的 资源 利用 ， 以 使 人 们 减少 花费 、 保 护 环境 其 
至 提供 一 个 内 心 的 宁静 。 设 法 利用 这 些 技术 的 组 织 可 以 开发 和 提供 更 智能 的 服 
务 和 产品 。 关 于 智能 服务 和 智能 产品 的 应 用 的 例子 如 下 : 

o 智能 应 用 (smart application) 。 为 更 多 的 智能 资源 管理 和 客户 服务 提供 一 
个 对 于 一 些 没 有 察觉 到 的 大 量 数据 的 中 心 视 觉 。 这 些 系统 包括 : 

o 智能 电网 (smart grid) 。 根 据 需求 自动 调控 电力 、 水 、 天 然 气 等 资源 ， 减 
少 资源 浪费 ， 节 省 消费 者 公用 事业 账单 。 

o 智能 汽车 (smart car) 。 在 汽车 内 进行 诊断 的 和 使 用 的 传感器 ， 可 以 提供 
性 能 报告 ， 发 现 和 恢复 故障 ， 提 供 已 坏 组 件 的 客户 通知 ， 推 荐 服务 检查 ， 以 及 
自动 的 碰撞 探测 和 报告 。 

o 智能 家 居 (smart home ) 。 对 房子 远程 监控 ， 远 程控 制 用 电 设备 ， 以 及 制 
热 、 制 冷 、 光 照 、 娱 乐 和 接 入 设施 。 

o 知 慧 城市 (smart citie)。 使 用 交通 灯 动 态 进行 交通 管理 ， 通 过 留言 板 沟 通 
可 选 路 径 ， 以 及 提高 能 量 利用 率 。 

e 市 政和 工业 的 监控 和 监测 (municipal and industrial surveillance and monito- 
ring) 。 物 理 访问 的 控制 和 监控 、 极 端 条 件 下 的 环境 监控 (如 自然 灾害 、 火 灾 、 
水 灾 ) 、 结 构 监 测 和 交通 监测 。 

o 野外 应 用 (field application) 。 舰 船 的 管理 、 调 度 和 交通 工具 的 远程 信息 
处 理 。 

e 卫生 保健 (healihcare)。 远 程 监视 病人 的 生命 特征 ， 进 行 诊断 和 药物 管 
理 ， 建 立 “ 体 域 网 (body area networks)”， 严 格 监视 医用 库存 环境 ( 如 存储 血 
奖 和 絮 官 的 保存 环境 ) 。 

e 工业 (industrial) 。 工 厂 流水 线 监视 ,诊断 程序 ， 资 源 控制 ， 供 应 链 管 理 ， 
操作 过 程 的 监视 ， 以 及 控制 无 线 网 络 提供 的 可 达 性 。 

。 军事 (military) 。 战 场 专用 网 络 通过 不 同 士兵 的 传 感 需 向 军事 指挥 报告 最 
新 状态 。 

e 消费 者 (consumer)。 位 置 感知 服务 〈 如 用 于 跟踪 小 孩 或 宠物 、 市 场 服 务 
(寻找 最 近 的 商店 ) ) ， 通 过 数字 标识 的 电子 支付 ， 游 戏 服 务 ， 以 及 其 他 消费 者 
服务 。 


Ill 


10.2 因特网 的 阴暗 面 


跟 任何 使 能 技术 一 样 ， 随 着 规模 和 实力 的 增长 ， 人 们 的 日 常生 活 越 来 越 依 
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赖 因特网 的 接 入 ， 限 制 网 络 接 入 的 可 能 性 也 随 之 增加 。 例 如 ， 现 在 很 多 组 织 都 
会 限制 一 些 网 络 流量 的 流入 和 流出 。 而 这 个 “审查 制度 ”已 经 被 一 些 政府 、 网 
络 服务 提供 商 和 内 容 提供 商 使 用 ， 并 且 还 将 被 继续 使 用 。 控 制 了 内 容 和 应 用 分 
发 供应 链 的 设备 制造 商 很 可 能 限制 到 一 些 网 站 和 应 用 的 访问 。 宽 带 提供 商 和 网 
络 服务 提供 商 可 能 会 根据 订购 费 ， 使 流量 与 之 符合 ， 这 和 “网 络 中 立 (net neu- 
trality) ”的 平等 对 待 每 个 IP 数据 报 的 原则 相 矛 盾 "”] 。 

随 着 那些 可 以 提供 途径 获取 传感器 、 相 机 和 其 他 形式 信息 收集 设备 的 增长 ， 
那些 被 授权 的 组 织 可 以 加 强 对 这 些 信息 免费 使 用 的 控制 。 由 于 存储 硬件 价格 的 
持续 下 降 ， 很 多 组 织 就 可 以 对 这 些 “ 受 监督 ”的 数据 进行 收集 、 分 析 并 使 用 ， 
可 能 用 在 好 的 地 方 ， 也 可 能 用 在 不 好 的 地 方 。 

在 一 个 乌托邦 式 的 幻想 世界 中 ， 每 个 人 可 以 有 “平等 访问 (equal access)” 
的 权利 来 访问 因特网 上 发 布 的 所 有 数据 。 但 是 当 考 虑 到 如 相片 、 个 人 信息 和 银 
行 卡 数据 等 私人 数据 会 被 任何 人 访问 时 ， 马 上 就 会 明白 ， 对 访问 的 限制 是 必 不 
可 少 的 。 但 是 限制 的 边界 在 不 同 控制 等 级 的 个 人 、 企 业 法 人 人、 服务 提供 商 和 政 
府 上 ， 变 得 模糊 不 清 了 。 有 的 人 愿意 相信 ， 那些 希望 世界 上 所 有 人 都 能 访问 
的 ， 发 布 在 因特网 上 的 信息 ， 可 以 真正 在 世界 范围 内 被 访问 ; 而 那些 希望 限 
制 访问 范围 的 信息 ， 不 会 在 这 个 范围 之 外 被 访问 到 。 可 是 这 两 个 场景 都 不 能 
真正 保证 。 

在 所 有 这 些 场景 中 ， 对 网 络 信息 的 限制 访问 ， 与 因特网 使 用 的 具体 协议 版 
本 没有 关系 ， 也 不 是 新 事物 。 这 种 对 个 人 自由 的 限制 ,在 Pw4 和 IPv6 是 一 
样 的 。 


10.3 因特网 的 光明 未 来 


不 管 这 些 阴 暗 面 是 否 充斥 网 络 社会 和 其 他 各 方面 ， 人 们 对 未 来 因特网 ， 及 
其 在 通过 促进 全 球 通信 使 世界 变 小 、 自 动 化 、 日 常生 活 的 远程 控制 和 提升 生活 
质量 中 所 扮演 的 角色 ， 持 乐观 态度 。IPv6 明智 的 定位 会 为 支持 这 一 角色 提供 核 
心 技术 。 
10.3.1 更 加 智能 地 生活 

即将 到 来 的 智能 家 居 、 智 能 能 源 和 智能 汽车 让 消费 者 可 以 更 好 地 控制 能 量 、 
水 资源 和 通信 设备 ， 为 消费 者 提供 自动 化 维护 功能 ， 为 汽车 、 家 庭 用 具 和 资源 
消耗 提供 更 好 的 信息 和 诊断 功能 。 这 些 有 效 的 “自我 提醒 (self-reminding)” 4% 
术 可 以 减少 担忧 并 且 降 低 花 费 ， 同 时 减少 对 环境 资源 的 需求 。 
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10.3.2 保持 踪迹 


在 照顾 对 家 庭 、 小 孩 、 宠 物 或 者 年 长 亲属 方面 ， 会 变 得 更 能 负担 得 起 并 且 
实现 上 也 更 简单 。 可 联网 的 监控 摄像 机 提供 视频 监控 和 记录 ， 而 可 穿戴 或 其 他 
携带 传感器 可 以 用 于 定位 追踪 。 后 一 个 应 用 会 很 受 小 孩 父 母 和 宠物 主 的 欢迎 。 


10.3.3 可 扩展 的 医疗 保健 


病人 在 完成 医学 治疗 出 院 之 后 ， 通 过 新 兴 的 远程 病人 诊断 和 医疗 保健 技术 
可 以 对 刚 回 家 病人 的 生命 体征 或 其 他 参数 进行 与 位 置 无 关 的 监视 。 指 标 读数 超 
过 可 接受 的 浆 值 时 会 发 出 通知 来 触发 后 续 行 动 。 这 个 技术 也 可 以 被 用 在 不 那么 
严格 的 日 常 监控 应 用 中 。 


10.3.4 公共 安全 


对 于 公共 安全 应 用 ， 如 警察 、 救 护 车 、 火 警 救援 的 应 用 ， 相 关 信 息 越 快 到 
达 最 近 的 相关 单位 越 好 采取 行动 。 使 用 传感器 信息 、 监 控 摄 像 机 或 其 他 触发 器 ， 
言 息 可 以 被 分 发 到 最 近 的 办 公 室 以 采取 行动 。 这 些 应 用 也 被 用 于 灾难 准备 、 灾 
难 恢复 和 救助 的 行动 中 。 


10.3.5 未 来 的 信用 卡 


随 着 IPv6 技术 促进 世界 上 智能 手机 的 增长 ， 这 些 设 备 的 新 用 途 将 是 智能 手 
机 代替 信用 卡 这 样 的 功能 。 当 前 一 个 严重 的 问题 是 ， 通 过 收集 因特网 信用 卡 交 
易 的 数据 ， 进 行 身份 盗用 和 冒 用 。 如 果 信 用 卡 被 替代 成 一 些 不 那么 容易 复制 的 
技术 产品 将 会 怎么 样 ? 人 们 已 经 见证 了 从 现金 到 借 记 卡 /信用 卡 的 变化 ， 那 么 使 
用 智能 手机 代替 借 记 卡 /信用 卡 就 如 同 使 用 虚拟 信用 卡 一 样 。 

“信用 卡 之 父 ” Jermome Svigals ， 预 测 智能 手机 在 将 来 的 10 年 超过 信用 
卡 成 为 一 个 主要 的 支付 工具 。 在 他 的 书 一 一 《智能 手机 中 的 银行 ( Bank on Your 
Smartphone)》( 即 本 书 参 考 文献 ) [101]) ， 预 测 零售 业 银 行 正 在 向 一 个 新 的 时 
代 演 化 ， 这 个 时 代 的 中 心 是 和 因特网 相连 的 手持 智能 手机 。 虽 然 是 由 其 他 协议 
而 非 IPv6 来 进行 金融 数据 传输 ， 但 是 手机 数量 的 大 量 增加 将 会 是 这 次 演化 的 主 
要 推动 力 ， 而 IPv6 将 协助 推动 智能 手机 在 世界 上 的 广泛 使 用 。 


10.3.6 消费 应 用 


位 置 感知 应 用 (location-aware application) 和 轮廓 感知 信息 ( profile- aware 
information) 可 以 用 在 零售 企业 中 j 它们 可 以 随机 地 发 送 优惠 券 或 者 精心 选择 的 
广告 ， 给 那些 经 过 零售 店面 的 顾客 。 有 的 人 也 许 会 觉得 这 是 骚扰 ， 但 是 ， 假 如 
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你 想 要 喝 一 杯 咖 啡 ， 这 时 候 一 个 使 铁 咖啡 的 打折 广告 出 现 了 ， 并 且 打 折 商 店 就 
在 一 个 街区 之 外 ， 你 一 定 会 觉得 这 件 事 无 法 抗拒 。 

男 外 一 个 潜在 的 应 用 方向 是 保险 业 ， 它 需要 收集 所 有 这 些 房屋 、 汽 车 和 健 
康 传 感 器 的 信息 ， 用 于 评估 用 户 保险 费用 ， 也 用 于 找 出 事故 的 根本 原因 。 


10.4 小 结 


本 章 所 描述 的 应 用 案例 仅 是 在 增长 的 互联 世界 中 使 生活 更 美好 的 应 用 和 机 
会 中 的 皮毛 。 虽 然 每 一 个 好 处 都 会 附带 一 些 注意 点 ， 但 是 因为 科技 持续 向 更 小 、 
更 便宜 、 更 智能 的 方向 发 展 。 更 重要 的 是 ， 通 过 IPv6 网 络 设备 的 发 展 ， 获 取信 
息 的 途径 将 会 扩大 到 一 个 前 所 未 有 的 高 度 ， 而 未 来 也 将 会 需要 有 效 的 管理 应 用 
软件 按 需 进行 分 析 、 报 告 和 告警 。 


附录 IPv6 准备 情况 评估 模板 修订 1 


这 个 模板 给 出 了 对 于 一 个 给 定 组 织 的 IPv6 准备 情况 评估 ， 用 于 收集 和 提供 
需要 获取 IPv6 准备 情况 的 当前 状态 信息 的 中 心 存储 库 。 该 模板 的 电子 版 本 可 从 
http: //www. ipamworldwide. com 下 载 使 用 。 


A.1 IP 地 址 分 配 


本 节 概 述 了 当前 的 IP 地址 规划 。 


功能 区 项 H 
IPv4 地 址 空间 
ARIN 根 块 分 配 
RIPE 根 块 分 配 
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A.2 流程 与 人 员 


本 节 概 述 了 对 于 流程 、 实 践 和 人 员 的 评估 标准 。 
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